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(54) Verfahren zur Oberwachung einer technischen Aniage mit erhohten 

Sicherheitsanforderungen insbesondere eines Handhabungsgerates, sowie 
Uberwachungs- und Steuergerat 



(57) Die Erfindung bezieht sich auf eln Uberwa- 
chungs- und Steuergerat (38) sowie ein Verfahren zur 
Oberwachung einer zumindest elne portable und/oder 
mobile und/oder immobile Einrichtung umfassenden 
technischen Aniage (10) mit erhohten Sicherheitsanfor- 
derungen, insbesondere eines in einer Schutzeinrich- 
tung angeordneten Handhabungsgerates. Die Aniage 
umfasst zumindest eine vorzugsweise zentrale und/ 
Oder dezentrale Steuereinheit (36) sowie mit dieser ver- 
bundene Aktoren (24 - 30; K1 , K2) zur Ausfuhrung von 
gefahrbringenden Aktionen. Das Uberwachungs- und 
Steuergerat ist flexibel einsetzbar und erhalt die Sicher- 
heit der technischen Aniage. Dazu wird vorgeschlagen, 
dass das Uberwachungs- und Steuergerat (38) mit der 
Steuereinheit (36) und mit Sensoren (20, 22) und/oder 
Aktoren (24 - 30) verbunden ist und deren Zustande 
auswertet, verarbeitet und steuert und in Abhangigkeit 
der Zustande der Sensoren (20, 22) und/oder Aktoren 
(24 - 30) zumindest ein Freigabesignal an die Steuer- 
einheit (36) zur Ermoglichung zumindest einer Bewe- 
gung in der technischen Aniage (10) ubertragt. Dabei 
wird die Bewegung uberwacht. Tritt ein Fehler auf. wird 
die Aniage in einen sicheren Zustand iiberfuhrt. 
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Beschreibung 

[0001] Die Erfindung bezieht sich auf ein Verlahren zum sicherheitsgerlchteten Oberwachen zumindest einer Achse 
einer Antriebseinheit, insbesondere bestimmt zur Oberwachung einer zumindest eine portable und/oder mobile und/ 
Oder Immobile Einrichtung umfassenden technischen Aniage mit ertidhten Sicherheitsanforderungen, insbesondere 
eines in einer Schulzeinrichtung angeordnelen Handhabungsgerales, umfassend zumindest eine vorzugsweise zen- 
trale und/oder dezentrale Steuereinheil sowie mil dieser verbundene Akloren zur Ausfuhrung von gefahrbringenden 
Aktionen. 

[ 0002 ] Um ein Handhabungsgerat derart auszubilden, dass es auch in der Nahe von Personen betrleben werden 
kann, wird in der DE 39 02 247 A1 vorgeschlagen, Istwertgeber fur Lage-Ruckmeldungen und Regelkreise redundant 
auszubilden und zusatzlich eine Uberwachungsund Sicherheitsschaltung vorzusehen, die bei Signalabweichungen 
zwischen den redundanten Abgriffen anspricht. 

[0003] Die Uberwachungs- und Sicherheitsschaltung spricht auf Signalabweichungen zwischen den redundanten 
Istwertgebern an, wobei jedoch externe Sicherheitsvorkehrungen in die Prufung nichl einbezogen werden. Auch ist 
bei der bekannten Uberwachungs- und Sicherheitsschaltung nicht vorgesehen, dass diese aktiv in den Bewegungs- 
ablauf der Handhabungsmaschipe eingrelfen kann. 

[0004] Aus der DE 296 20 592 U1 ist eine Einrichtung zum sicherheitsgerichteten Oberwachen einer Maschinen- 
achse bekannt, die ein getrenntes Prozessor- und Istwert-Erfassungssystem sowie eine Fehleraufdeckung durch Sl- 
gnalvergleichstest und Zwangsdynamisierung aufweist. Die Vorrichtung weist zwei separate Istwert-Erfassungssyste- 
me auf, die ihre Istwerte jeweils getrennten Prozessoren zuleiten. In den Prozessoren werden die Istwerte mit Ober- 
und Untergrenzwerten verglichen. 

[0005] Zur Steuerung und Oberwachung einer Bremseinrichtung fur Antriebe eines Handhabungsgerales ist aus 
dem Stand der Technik bekannt, dass eine Bedienperson bei geschlossener Bremseinrichtung einen Antrieb zur Er- 
zeugung eines Drehmomentes mit einem Strom beaufschlagt und uber Sichtkontakt pruft, ob sich der Antrieb bei 
geschlossener Bremseinrichtung bewegt. Diese Vorgehensweise ist unprazise und muss fur jede Achse separat durch- 
gefiihrt werden. 

[0006] Auch ist aus dem Stand der Technik bisher nicht bekannt, einen Bewegungsablauf eines definierten Punktes 
im kartesischen Raum bezuglich Lage und Geschwindigkeit zu Oberwachen. 

[0007] Der Erfindung liegt u.a. das Problem zu Grunde, ein Verfahren und eine Vorrichtung zum sicherheitsgerich- 
teten Oberwachen einer Achse einer Antriebseinheit derart weiterzubilden, dass die Realisierung einer einkanaligen 
Istwert-Erfassungssensorik fur erhohte sicherheitsgerichtete Anforderungen ermogiicht wird. 

[0008] Auch liegt der Erfindung das Problem zu Grunde, einen Bewegungsablauf eines definierten Punktes einer 
Einrichtung der technischen Aniage im kartesischen Raum zu Oberwachen. 

[0009] Bei einem Verfahren zum sicherheitsgerichteten Oberwachen zumindest einer Achse einer Antriebseinheit 
wird das Problem verfahrensmaBig dadurch gelost, dass ein Lage-lstwertsignal der zumindest einen Achse einkanalig 
erfasst und zweikanalig ausgewertet wirci. Insbesondere ist vorgesehen, dass ein Lage-lstwertsignal der zumindest 
einen Achse erfasst und ausgewertet wird, wobei das Lage-lstwertsignal aus zwei zueinander phasenverschobenen 
periodischen Signaien gebildet wird, wobei die Summe der Potenzen der jeweiligen Amplitude der Signale gebildet 
und mit einem in einem Wertebereich liegenden Wert verglichen wird und wobei ein Fehlersignal erzeugt wird, wenn 
die Summe nicht innerhalb des vorgegebenen Wertebereichs liegt. 

[0010] Bei einem Verfahren mit erhohter Sicherheit ist vorgesehen, dass das Lage-lstwertsignal aus den zwei zu- 
einander phasenverschobenen periodischen Signaien gebildet wird, dass in jedem Kanal die Summe der Amplltuden- 
quadrate gebildet und mit einem konstanten Wert Oder einem in dem Wertebereich liegenden Wert verglichen wird, 
dass ein Fehlersignal erzeugt wird, wenn die Summe nicht dem vorgegebenen Wert entspricht bzw. nicht Innerhalb 
des Wertebereichs ist, und dass das Lage-lstwertsignal dem weiteren zweikanallgen Oberwachungs- und Steuergerat 
zugefOhrtwird, das die in jedem Kanal der Antriebssteuerung gebildeten Summen der Amplitudenquadratemiteinander 
und /Oder mit dem konstanten Wert bzw. in dem Wertebereich liegenden Wert vergleicht. 

[0011] Vorzugsweise setzt sich das Lage-lstwertsignal aus einem sin- und einem cos-Signal zusammen, wobei in 
jedem Kanal eine PlausibllltatsprOfung der Istwert-Signale durchgefOhrt wird, wobei geprOft wird, ob die Summe der 
Quadrate der Ausgangsamplituden in jedem Abtastzeitpunkt einem vorgegebenen Wert x entspricht mit x im Bereich 
0,9 < X < 1,1, vorzugsweise x = 1 = (sin <p)2 + (cos q>)2. 

[0012] Als fehlervermeidende und/oder fehlerbeherrschende MaBnahme ist vorgesehen, dass ein richtungsabhan- 
giges Signal eines Drehzahl- bzw. Lage-Sollwertes erzeugt und mit einem richtungsabhangigen Signal des Drehzahl- 
bzw. Lage-lstwertes ein- Oder zweikanalig verglichen wird und dass die ein- Oder zweikanalig erzeugten Werte dem 
Uberwachungs- und Steuergerat zugefuhrt und dort miteinander verglichen werden. 

[0013] Des Weiteren Ist vorgesehen, dass zwischen den Kanalen. vorzugsweise zwischen den Mikrocomputern ein 
Internet Kreuzvergleich der erfassten Istwerte durchgefuhrt wird und dass im Fehterfall eine Impulssperre erzeugt wird. 
[0014] Bei fehlender ubiicher Energieversorgung fur die Antriebseinheiten (Power-Down-Modus) wird eine Still- 



1247622A2_L> 



2 




EP 1 247 622 A2 



standsuberwachung durchgefuhrt, wobei in jedem Kanal die Istwerte uberwacht werden und bei Veranderung der 
Istwerte ubereine eingestellte Toleranzgrenze hinaus ein "Marker" gesetzt wird, der nach dem Wiedereinschalten der 
ubiichen Energieversorgung in das Uberwachungs- und Steuergerat ubertragen und mit abgespeicherten Sollwerten 
verglichen wird. 

5 [0015] Bei einer Anordnung zum sicherheitsgerichten Uberwachen elner von einer Antriebseinheit angetriebenen 

Achse einer technischen Aniage, umfassend einen mil der Achse gekoppellen Lage-lslwertgeber, der mil einer zwei- 
kanaligen Antriebssteuerung zur Auswertung verbunden ist, wird das Problem dadurch gelost, dass der Lage-lslwerl- 
geber einkanalig ausgefuhrt ist und zumindest zwei Ausgange aufweist, an denen bei Drehung der Achse zwei zuein* 
ander phasenverschobene periodische Signale abgreifbar sind, dass die Ausgange mit jeweils einem Kanal der An- 
triebssteuerung verbunden sind und dass die einzelnen Kanale der Antriebssteuerung einerseits mit einer ubergeord- 
neten zentralen Oder dezentralen Steuereinheit und andererseits mit einem zweikanaligen Uberwachungs- und Stcu- 
ergerat zum Vergleich der empfangenen Istwert-Signale verbunden sind. 

[0016] Wenn die Antriebseinheit eines Antriebs eine Zeitwerterfassung nicht zulasst, Ist vorgesehen, dass die mit 
dem Lage-lstwertgeber verbundene zwelkanalige Antriebssteuerung als integraler Bestandteil des Uberwachungs- 
15 und Steuergerates Oder als eigenstandige Einheit unabhangig von der Antriebseinheit diesem vorgelagert ist. In diesem 
Fall kann auch das Uberwachungsund Steuergerat die Antriebssteuerung zur Istwerterfassung aufweisen. Selbstver- 
standlich kann die Einrichtung zur Istwerterfassung auch als separate Einheit dem Uberwachungs- und Steuergerat 
vorgelagert sein. 

[0017] Vorteilhatt Ist der Istwert-Geber als Resolver mit zwei analogen Ausgangen fur die Istwertsignale und einem 
20 Eingang fiir ein Referenzsignal ausgebildet, wobei die Ausgange jeweils uber einen A/D-Wandler mit einem Kanal der 
Antriebssteuerung verbunden sind und wobei der Eingang fur das Referenzsignal mit einem Referenzgenerator ver- 
bunden ist, der seinerseits iiber eine Kontrolleinheit mit der Steuereinheit eines Kanals verbunden ist. 

[0018] Zur Steuerung der Istwert-Erfassung ist der A/D-Wandler des zweiten Kanals uber einen ersten Anschluss 
mit einem Interrupt-EIngang des Signalprozessors verbunden, und der A/D-Wandler des ersten Kanals ist uber einen 
25 zweiten Anschluss mit einem Eingang eines Treiberbausteins verbunden, dessen Ausgang mit einer Interrupt-Steu- 
ereinheit des Mikrocontrollers verbunden ist. Dabei wird die Zelt zwischen zwei empfangenen Interrupt-Signalen (EOC) 
gemessen und dann ein Stop-Signal ausgelost, wenn Innerhalb einer Zeitspanne kein Interrupt-Signal (EOC) detektiert 
wird. Auch wird bei Abweichung der Referenzfrequenz von einem Frequenznonmal eine Impulssperre erzeugt. 

[0019] Um den Fehler einer mechanischen Trennung bei einkanaliger Antriebs- und Geberwelle des Resolvers zu 
30 beherrschen ist vorgesehen, dass die Antriebseinheit als Zwischenkreis gespeistes elektrisches Antriebssystem, vor- 
zugsweise als AC -Servo-Motor realisiert ist 

[0020] Bel einem Verfahren zur Steuerung und Uberwachung einer Bremseinrichtung mit einem Nennmoment 
(Mnenn)- clie einer Antriebseinheit einer technischen Aniage wie Handhabungsgerat zugeordnet ist, ist zur Ermogli- 
chung einer automatischen Uberwachung/Uberpriitung vorgesehen, dass ein einem Haltemoment entsprechender 
35 Hallestrom (1^) der Antriebseinheit bei geoffneter Bremseinrichtung gemessen und gespeichert wird, dass die Anlriebs- 
einheit bei geschlossener Bremseinrichtung mit einem achsspezifischen Stromwert (Ijest) beaufschlagt wird, der die 
Bremseinrichtung mit einem Moment belastet, das gleich Oder kleiner als das Nennmoment (Mjsjgfvji^) der Bremsein- 
richtung ist und dass der Antrieb gleichzeitig auf Stillstand uberwacht wird. 

[0021] Durch das erfindungsgemaBe Verfahren erfoigt eine automatische Uberwachung/Uberprufung der Bremsein- 
40 richtungen. Bei geschlossenen Bremseinrichtungen und Bestromung wird der Antrieb auf Stillstand uberwacht. Sobald 
sich eine Achse bzw. ein Antrieb bewegt, wird iiber die Stillstandsuberwachung ein Fehlersignal erzeugt, das auf den 
Defekt einer Bremseinrichtung hinweist. Insbesondere besteht die Moglichkeit, samtiiche Bremseinrichtungen eines 
Handhabungsgerates gleichzeitig zu uberwachen, indem alle Antriebe bei geschlossener Bremseinrichtung mit einem 
Stromwert beaufschlagt werden. 

45 [0022] Vorzugsweise ergibt sich der Stromwert (Itest) ®^is dem gemessenen Haltestrom (l^^) und einem Offset-Strom 

(•offset) *^^ch der Beziehung 

•test = •h - •offset 

50 

•offset = X • Ifg 

mit 0,6 < X < 1 ,0 , vorzugsweise x = 0,8 

mit In einem Strom, derein Nennmoment erzeugt, das dem maximalen Nennmoment der Bremseinrichtung ent- 
spricht. 

55 

[0023] Handelt es sich bei der zu uberpriifenden Achse bzw. dem zu uberprufenden Antrieb um eine schwerkraft- 
belastete Achse, so wird die Bremseinrichtung aufgrund der Schwerkraft z. B. des Roboterarms mit einem bestimmten 
Moment belastet, das dem Haltemoment entspricht. ZumTesten derTrenneinrichtung wird der Antrieb mit einem Strom- 
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weft beaufschlagt, der ein Moment erzeugt, das zusatzlich zu dem von der Schwerkraft erzeugten Moment in dessen 
Richtung wirkt. 

[0024] GemaR einer Weiterbildung ist vorgesehen, dass der Stromwert ly^sT dem Antrieb ein Moment erzeugt, 
das 60 bis 90 % des Nennmomenles, vorzugsweise 80 % des Nennmomenies betragt. 

[0025] Ferner ist bei nicht-schwerkraftbelasteten Achsen vorgesehen, dass die Bremseinrichtung uber elnen exter- 
nen Schaltkontakt losbar ist und uber eine exlerne Hilfsenergie angesteuert wird. Diese Belriebsart wird nur in Nolfallen 
angewendet. Dabei kann die ubergeordnele Robolersteuerung und/oder das Uberwachungsgeral ausgeschallel sein. 
In diesem Zustand kann die Roboterrnechanik manuell bewegl werden, zum Beispie! zum Befreien einer eingeklemm- 
ten Person. 

[0026] Zur Behebung von Produktionsstorungen ist vorgesehen, dass bei einer individuelien Losung der Bremsein- 
richtungen einer Gruppe von nicht Oder Im wesentlichen nicht durch Schwerkraft belasteten Achsen wie Kopfachsen, 
verbleibende durch Schwerkraft befastete Achsen auf Stillstand uberwacht werden. Diese Betriebsart ist dann von 
Vorleil, wenn ein SchweiBroboter zum Beispiel nach einer Stromquellenstorung mit festgebranntem SchweiBdraht an 
einer schwer zuganglichen Stelle des Werkstucks festkiemmt. Fur diesen Fall kann an einer Gruppe von Achsen ohne 
Schwerkraftbelastung die Bremseinrichtung geluftet werden, urn die Achsen sodann manuell in eine ubersichtliche 
Position zu bewegen. 

[0027] Bei einer bevorzugten Verfahrensweise wird eine Spannungsversorgung fur die Bremseinrichtungen fiber ein 
externes Steuer- und Oberwachungsgerat zugeschaltet, wobei eine mIt der Bremseinrichtung verbundene Antriebs- 
steuerung ein Signal erzeugt, mit dem die Bremseinrichtung einer Achse geoffnet bzw. geluBet wird. Neben einer 
erhohten Sicherheit wird dadurch auch die Flexibilitat bei einer Vielzahl von angeschlossenen Motoren bzw. Bremsen 
erhoht. 

[0028] Die Erfindung bezieht sich des Weiteren auf ein Verfahren zur Uberwachung der Geschwindigkeit eines im 
Raum bewegbaren geratespezifischen Punktes einer technischen Aniage, insbesondere eines Handhabungsgerates. 
[0029] Dm einen Bewegungsablauf des definierten Punktes im kartesischen Raum iiberwachen zu konnen ist vor- 
gesehen, dass Lage-lstwert-Signaie von Antriebseinheiten erfasst werden, dass aus den Lage-lstwert-Signalen durch 
eine Transformationsoperation kartesische Koordinaten des Punktes berechnet werden, und dass die berechneten 
kartesischen Koordinaten mit abgespeicherten Werten und/oder Wertebereichen verglichen werden, urn ein Signal 
zum Stillsetzen der Einrichtung zu erzeugen, wenn die transform ierten kartesischen Koordinaten den Wert und/oder 
Wertebereich uberschreiten. 

[0030] Bei einer bevorzugten Verfahrensweise erfoigt eine Oberprufung auf sicher reduzierte Geschwindigkeit be- 
zogen auf den handhabungsger^espezifischen Punkt, wobei ein Differenzvektor durch Subtraktion eines ersten kar- 
tesischen Koordinatensatzes in einem ersten Abtastzeitpunkt von einem zweiten kartesischen Koordinatensatz in ei- 
nem zweiten Abtastzeitpunkt errechnet wird, wobei eine kartesische Geschwindigkeit des Punktes fiber eine Zeitdif- 
ferenz zwischen dem ersten und zweiten Abtastzeitpunkt ermittelt wird und wobei ein Signal zum Stillsetzen der An- 
triebseinheiten dann erzeugt wird. wenn die errechnete Geschwindigkeit eine vorgegebene maximale Geschwindigkeit 
fibersteigt. 

[0031] Bel einer weiteren bevorzugten Verfahrensweise erfoigt eine sogen. Bremsrampenuberwachung, wobei nach 
Auslosung eines Signals zum Stillsetzen der Einrichtung eine Anfangsgeschwindigkeit des Punktes ermittelt und ge- 
speichert wird, wobei nach einer Zeitspanne die aktuelle Geschwindigkeit ermittelt und mit der Anfangsgeschwindigkeit 
verglichen wird und wobei dann, wenn die aktuelle Geschwindigkeit nach der Zeitspanne gleich Oder groBer der An- 
fangsgeschwindigkeit ist, ein Signal zum sofortigen Stillsetzen der Einrichtung erzeugt wird. 

[0032] Ein Uberwachungs- und Steuergerat zur Uberwachung einer zumindest eine portable und/oder mobile und/ 
Oder immobile Einrichtung umfassenden technischen Aniage mit erhohten Sicherheitsanforderungen mit zumindest 
einer vorzugsweise zentralen und/oder dezentralen Steuereinheit sowie mit dieser verbundenen Aktoren zur Ausffih- 
rung von gefahrbringenden Aktionen, wobei das Uberwachungs- und Steuergerat mit Sensoren und/oder Aktoren ver- 
bunden ist und deren Zustande auswertet, verarbeitet und steuert, zeichnet sich dadurch aus. dass die Steuereinheit 
fiber zumindest eine Datenverbindung mit dem zumindest einen Aktor und/oder Sensor und dem Uberwachungs- und 
Steuergerat verbunden ist, dass das Uberwachungs- und Steuergerat in Abhangigkeit der Zustande der Sensoren 
und/oder Aktoren zumindest ein Freigabesignal an die Steuereinheit zur Ermoglichung zumindest einer Aktion in der 
technischen Aniage fibertragt, dass das Freigabesignal eine Aktion auslost, die durch das Steuer- und Uberwachungs- 
gerat durch Vergleich mit gespeicherten und/oder vorgegebenen Ausffihrungs- und/oder Funktions- und/oder Plausl- 
bilitatsvorgaben bzw. Bewegungsablaufen uberwacht wird, und dass im Fehlerfall zumindest ein welteres Signal er- 
zeugt wird, durch das die Aniage in einen sicheren Zustand uberffihrt wird. 

[0033] Das Uberwachungs- und Steuergerat ist derart ausgebildet, dass es zusatzlich in handelsfibliche zentrale 
und/oder dezentrale numerischeSteuerungen integriert werden kann, um gefahrbringende Aktionen einer technischen 
Aniage, insbesondere dreldimensionale gefahrbringende Bewegungen sicherheits- bzw. personenschutzgerlchtet zu 
uberwachen. Bei fehlerhafter Ausffihrung der Aktionen wird ein Signal zum Uberfuhren der Aniage in den sicheren 
Zustand erzeugt. 
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[0034] Das Oberwachungs- und Sleuergerat weist Eingangs- und Ausgangsebenen auf, an denen die Sensoren 
und/oder Aktoren angeschlossen sind. Zusatziich sind Schnittstellen vorgesehen, um das Oberwachungs- und Steu- 
ergerat mit der vorhandenen zentralen Steuereinheit gegebenentalls uber elnen Bus zu verbinden. 

[0035] In einer bevorzugten Ausfuhrungsform ist das Oberwachungs- und Steuerungsgerat mit einer Robotersteue- 
rung verbunden. Dabei isl vorgesehen, dass der zumindest eine Aktor und/oder der zumindest eine Sensor als eine 
die technische Aniage in den sicheren Zusland uberfuhrende Sicherheitseinrichlung ausgebildel isl. Insbesondere isl 
der Aktor als Anlriebseinheil mil zugehoriger Antriebssleuerung Oder als ein die lechnische Aniage bzw. die Anlriebs- 
steuerung mit Energie verbindendes Lelstungsschutz ausgebildel. 

[0036] Wenn sich samtilche Aktoren und/oder Sensoren in einem den sicherheitstechnischen Antorderungen ent- 
sprechenden Zustand befinden, wird durch das Freigabesignal des Oberwachungs- und Steuergerates eine Aktion 
wie z. B. ein Bewegungsablauf ausgelost, der durch das Steuer- und Oberwachungsgerat bevorzugt durch Vcrgleich 
mit gespeicherten und/oder vorgegebenen Werten wie Ausfuhrungs- und/oder Funktions- und/oder Plausibilitatsvor* 
gaben bzw. Bewegungsablaufen uberwacht wird. 

[0037] Fernersind insbesondere die Steuereinheit und das Oberwachungs- und Steuergerat physisch als separate 
Einrichtungen ausgebildet. 

[0038] Zur sicheren Oberwachung der Bewegungsablaufe ist erfindungsgemaB vorgesehen, dass von der Steuer- 
einheit fortlaufend oder einmalig ein Lage-Sollwert-Signal an die zumindest eine angeschlossene Antriebssleuerung 
und/oder an das Oberwachungs- und Steuergerat und von der zumindest einen Antriebssteuerung Lage-lstwert-Si- 
gnale zumindest an die Steuereinheit, vorzugsweise sowohl an die Steuereinheit als auch an das Oberwachungs- und 
Steuergerat ubertragen werden, dass die Lage-lstwert-Signale jeder Antriebssteuerung mit in dem Oberwachungs- 
und Steuergerat abgespeicherten und von der Steuereinheit ubertragenen antriebsspezifischen Werten und/oder Wer- 
tebereichen verglichen werden und dass bei Verlassen des jeweiligen Wertes und/oder Wertebereiches das weitere 
Signal erzeugt wird. 

[0039] Um eine moglichst hohe Fehlersicherheit zu erreichen, weisen die Antriebssteuerungen und das Oberwa- 
chungs- und Steuergerat jeweils zumindest zwei Kanale auf, wobei die Kanale uber die Busleitung CAN_A und eine 
weitere Busleitung CAN_B miteinander verbunden sind, wobei uber die Busleitung CAN_A Steuersignale und/oder 
Istwert-Informationen und liber die Busleitung CAN_B Istwert-lnformationen ubertragen werden, die redundant anlie- 
gen. Zur Auswertung elektromechanischer Sicherheitsschalter oder ahniicher Sensoren und zur Ansteuerung externer 
Schaitgerate oder Aktoren weist das Oberwachungs- und Steuergerat eine zweikanalige Ausgangs- und Eingangs- 
ebene auf, wobei zumindest zwei weitere Busanschliisse vorgesehen sind, um das Oberwachungs- und Steuergerat 
mit einem libergeordneten Sicherheitsbus verbinden zu kbnnen. 

[0040] Bei einer bevorzugten Ausfuhrungsform sind die von den Antriebssteuerungen ubertragenen Lage-lstwerte 
mit einem Identifier deklariert, wobei beim Empfang dieser Identifier in jedem Mikrocontroller des Oberwachungs- und 
Steuergerates ein Interrupt ausgelost wird und die Lage-lstwerte innerhalb eines Zeitintervalls gelesen werden. Auch 
ist jedem Wert und/oder Werlebereich zumindest ein sicherheltsgerichleter Ausgang und/oder Eingang des Oberwa- 
chungs- und Steuergerates zugeordnet, wobei die Ausgange und/oder Eingange mit passiven und/oder aktiven Schal- 
telementen wie elektromechanischen Sicherheitsschaltern und/oder Leistungsschutzen und Relais verknupft sind. 
[0041] Zur Ausfiihrung von Service-Arbeiten und zur Initialisierung dertechnischen Aniage Ist vorgesehen, dass die 
zentrale Steuereinheit Lage-SoUwert-Informationen zum Anfahren definierter Positionen wie SAFE-PosItion, SYNC-Po- 
sition an die Antriebseinheiten und das Oberwachungs- und Steuergerat iibertragt, wobei den definierten Positionen 
antriebsspezifische Werte zugeordnet sind, die zu dem Obertragungs- und Steuergerat ubertragen und mit den ermit- 
telten Lage- Ist werten der Antriebseinheiten verglichen werden. 

[0042] ErfindungsgemaB weist die technische Aniage keine Hardware-Endschalter wie Nocken auf, sondern es sind 
achsspezifische "elektronische Nocken" definiert. Insbesondere sind bezuglich einer Antriebseinheit bzw. einer An- 
triebsachse eine Vielzahl von Wertebereichen definiert, wobei diese antriebsspezifisch von dem Oberwachungs- und 
Steuergerat ubenwacht werden, wobei jedem Wert und/oder Werlebereich ein oder mehrere Ausgange des Oberwa- 
chungsund Steuergerates zugeordnet sind. Die Werte und/oder Wertebereiche konnen achsspezifisch programmiert 
werden. Beim Oberschreiten eines Lage-Wertebereiches werden ein Oder mehrere Ausgange des Uberwachungs- 
und Steuergerates gesetzt, so dass die technische Aniage abgeschaltet werden kann. 

[0043] Welterbildungen ergeben sich aus den Unteranspruchen, denen zumindest zum Tell eigenerfinderische Aus- 
gestaltungen der Erfindungen zu entnehmen sind. 

[0044] Weitere Einzelheiten, Vorteile und Merkmale der Erfindung ergeben sich nicht nuraus den Anspruchen, den 
diesen zu entnehmenden Merkmalen - fur sich und/oder in Kombination sondern auch aus der nachfolgenden Be- 
schreibung von den Figuren zu entnehmenden Ausfuhrungsbeispielen. 

[0045] Es zelgen: 



Fig. 1 eine schematische Darstellung einer technischen Aniage, umfassend ein in einem Schutzraum angeord- 

netes Handhabungsgerat, 
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Fig. 2 ein Blockschaltblldeines SteuerungsystemszurSteuerung und/oder Regelung des Handhabungsgerates, 
Fig. 3 eln Blockschaltbild eines Uberwachungs- und Steuergerates, 

Fig. 4 eln Blockschaltbild zur Ansteuerung einer Lelstungsebene, 

Fig. 5 ein Blockschaltbild einer Anlriebssteuerung. 

Fig. 6 - 9 prinzipielle Schaltungsaufbauten der in einem Programmierhandgerat implizierten Sicherheitsschaltele- 
mente, 

Fig. 10 ein Ablaufdiagramm der Funktion "SAFE POSITION", 

Fig. 11 ein Ablaufdiagramm der Funktion "SYNCHRON POSITION", 

Fig. 12 eine prinzipielle Darstellung von achsspezifisch, programmierbaren "elektronischen Nocken", 

Fig. 13 eine prinzipielle Darstellung eines kartesischen Nockens, 

Fig. 14 ein Ablaufdiagramm zur Uberwachung achsspezifischer elektronischer Nocken, 

Fig. 15 ein Ablaufdiagramm zur Uberwachung eines kartesischen Nockens, 

Fig. 1 6 ein Drehzahidiagramm zur Darstellung der Funktion "Bremsrampenuberwachung", 

Fig. 1 7 ein Impulsdiagramm zur Erlauterung der Freigabe der Funktion "sicher reduzierte Geschwindigkeit", 

Fig. 18 ein Ablaufdiagramm zur Erlauterung der Funktion "sicher reduzierte Geschwind igkeit", 

Fig. 1 9 ein Impulsdiagramm zur Erlauterung der Funktion "TIPPBETRIEB", 

Fig. 20 eln Impulsdiagramm zur Erlauterung der Funktion "PULSBETRIEB", 

Fig. 21 ein Blockschaltbild zur Ansteuerung von Bremseinheiten, 

Fig, 22 eln Ablaufdiagramm der Funktion "NOT-STOP-ROUTINE". 

Fig. 23 ein Ablaufdiagramm der Funktion "POWER DOWN MODE" und 

Fig. 24 ein Blockschaltbild von Hardware-Elementen, die bei Netzausfall aktiv sind. 

[0046] In Fig. 1 ist schematisch eine technische Aniage 10 mil erhohten Sicherheitsanforderungen dargestellt. In 
dem beschriebenen Ausfuhrungsbeispiel besteht die technische Aniage 10 aus einem Handhabungsgerat 12, das 
zusammen mit zwei Bestuckungsplatzen 16, 18, die uber zugeordnete Schutzturen 20, 22 bestuckbarsind, innerhalb 
einer Sicherheitseinrichtung wie Schutzraum 14 angeordnet ist. Das Handhabungsgerat 12 wird im Folgenden als 
Roboter 12 bezeichnet. 

[0047] Der Roboter 12 ist in dem hier beschriebenen Ausfuhrungsbeispiel um zumindest vier Achsen 23, 25, 27, 29 
drehbar, wobei jeder Achse 23, 25, 27, 29 eln Aktor 24, 26, 28, 30 zugeordnet ist, der Im Ausfuhrungsbeispiel als 
Antriebseinheit 24, 26, 28, 30 bezeichnet ist. Selbstverstandlich kann der Aktor auch ein die Antriebseinheit 24, 26, 
28, 30 mit Energie versorgendes Leistungsschutz sein. Um den Roboter 1 2 zum Beispiel nach einem Spannungsausfall 
synchronisierenzu konnen, ist innerhalb des Schutzraumes 14 ein Synch ronisationspunktbzw. Kontakt32 angebracht. 
[0048] Befindet sich der Roboter 12 in einer Stellung uber dem Bestuckungsplatz 18, so kann die Schutztur 20 
geoffnet werden, um den Bestuckungsplatz 16 zu bestucken. Wahrend dieser Phase wird die Position des Roboters 
12 in einer im Folgenden beschriebenen Art und Weiseuberwacht. Dabeisind Sensoren wie Schaltkontakte der Schutz- 
tiir 20 mit Lage-lstwert-Signalen des Roboters 12 derart verkniipft, dass dann, wenn der Roboter 12 seine Position 
uber dem Bestuckungsplatz 18 in einem bestimmten vorgegebenen Sicherheitsbereich verlasst, eine Abschaltung 
erzeugt wird. 

[0049] In Fig. 2 ist eln Steuerungssystem 34 dargestellt, bestehend aus einer zentralen und/oder dezentralen Steu- 
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ereinheit wie Robotersteuerung36, den Antriebseinheiten 24 bis 30 sowie einem Uberwachungs- und Steuergerat 38, 
das im Folgenden Safety-Controller 38 genannt wird. Die Robotersteuerung 36 ist uber ein Interface 40 mit einem 
Programmierhandgerat 46 und uber eine Busleitung CAN_A mit den Antriebseinheiten 24 - 30 und dem Safet-Controller 
38 nach Art eines Strangs verbunden. Ferner ist der Safety-Controller 38 uber eine Verbindungsleitung 44 mit dem 
Programmierhandgerat 46 verbunden. Das Programmierhandgerat 46 kann auch zur Programmierung der Roboter- 
steuerung 36 verwendet werden, wozu das Interface 42 des Safety-Controllers 38 uber eine Busleitung CAN_C und 
das CAN-Interface 40 mit der Robotersteuerung 36 verbunden ist. 

[0050] Die Antriebseinheiten 24 - 30 weisen einen gleichen Aufbau auf, der am Beispiel der Antriebseinheit 24 be- 
schrieben werden soli. Zur Erfassung von Lage-lstwert-Signalen weist die Antriebseinheit 24 einen Resolver 48 auf, 
der mit einer redundant aufgebauten Antriebssteuerung 50 verbunden ist. Die Antriebssteuerung 50 weist zwei Kanale 
bzw. Kreisc 52, 54 auf, wobei jeder Kanal einen eigenen CAN-Controller 56, 58 beinhaltet. Die CAN-Controller 56 sind 
untereinander uber den betriebsmaBigen Bus CAN_A verbunden, der die Antriebssteuerung 50 einerseits mit der 
Robotersteuerung 36 und andererseits mit dem Safety-Control- 1 er 38 verbindet. Die CAN-Controller 58 sind unterein- 
ander uber einen weiteren Bus CAN_B verbunden, der die Controller 58 mit dem Safety-Cont roller 38 verbindet. Die 
Antriebseinheit 24 umfasst des Weiteren einen Motor, ein Leistungsteil, gegebenenfalls ein Getriebe und eine Brems- 
einheit (nicht dargestellt). 

[0051] Der Safety-Controller 38 ist ebenfalls zweikanalig aufgebaut und weist in jedem Kanal einen eigenstandigen 
Mikrocomputer 58, 60 auf. Die Mikrocomputer 58, 60 sind Jewells iiber einen CAN-Controller 62, 64 mit der Busleitung 
CAN_B Oder der Busleitung CAN_A verbunden. Des Weiteren sind die Mikrocomputer 58, 60 mit einer Eingangs- 
Ausgangsebene 66 verbunden, um sichere Ein- und Ausgange zu schalten bzw. einzulesen. Sichere Ein- und Aus- 
gange der Ein-Ausgangsebene 66 sind z. B. mit Kontakten der Schutzturen 20, 22 des Schutzraumes 14 verbunden. 
Zum weiteren Datenaustausch konnen die Mikrocomputer 58, 60 uber weitere CAN-Controller 68, 70 und ein Interface 
72 mit einem ubergeordneten Sicherheitsbus gekoppelt werden. 

[0052] Die Robotersteuerung 36 ubernimmt die Aufgabe aller zentralen Regel- und Steuerungsaufgaben und unter- 
liegt keinen sicherheitstechnischen Betrachtungsweisen. Insbesondere ist die Robotersteuerung 36 physisch unab- 
hangig von dem Safety-Controller 38, so dass betriebsmaBige Ablaufe in separaten Geraten ablaufen. Es Ist vorge- 
sehen, dass der Safety-Controller uber die Eingangs-ZAusgangsebene 66 mit den Sensoren bzw. Schaltkontakten der 
Schutzturen 20, 22 und iiber die Busleitungen CAN_A und CAN_B mit den Aktoren bzw. Antriebseinheiten 24, 26, 28, 
30 verbunden ist, um deren Zustande auszuwerten, zu verarbeiten und zu steuern. In Abhangigkeit der Zustande der 
Schaltkontakte der Schutzturen 20, 22 und/oder der Antriebseinheiten 24, 26, 28, 30 iibertragt der Safety-Controller 
zumindest ein Freigabe-Signal an die Steuereinheit 36, so dass der Roboter 12 eine Aktion ausfuhren kann. Anschlie- 
Bend wird die Ausfuhrung der zumindest einen Aktion durch den Safety-Controller fortlaufend uberwacht. Im Fehlerfall 
wird zumindest ein welteres Signal erzeugt, durch das die Aniage 10 in einen sicheren Zustand iiberfuhrt wird. 

[0053] Bei dem weiteren Signal handelt es sich um eine "STOP - 1" -Funktion, d. h., dass durch das Signal ein 
gesteuertes Stillselzen eingeleitet wird, wobei die Energiezufuhr zu den Anlreibseinheilen beibehallen wird, um das 
Stillsetzen zu erzielen und die Energiezufuhr erst dann zu unterbrechen, wenn der Stillstand errelcht ist. 

[0054] In der Robotersteuerung 36 werden alle Lage-Sollwerte der jeweiligen Antriebseinheiten 24 - 30 berechnet 
und nacheinander uber den Bus CAN_A zu den Antriebseinheiten 24 - 30 ubertragen. Die Antriebseinheiten 24 - 30 
ubertragen jeweils einen Lage-lstwert an die Robotersteuerung uber den Bus CAN_A zuruck, woraufhin in der Robo- 
tersteuerung 36 Werte wie Schlupf-, Schleppabstand und andere berechnet werden konnen. 

[0055] Zur Lage-lstwert- Erfassung ist der Resolver 48 vorgesehen, der direkt uber eine Motorwelle mit dem Motor 
mechanisch gekoppelt ist. Am Ausgang des Resolvers 48 liegen analoge Istwert-SIgnale an, die in der Antriebssteue- 
rung 50 digltalisiert werden. Der Resoiver 48 liefert der Antriebssteuerung 50 Informationen, welche zum achsspezi- 
fischen Ausregein von Prozessen dienen. Insbesondere wird durch die Antriebssteuerung 50 eine Stromregelung fur 
das den Motor ansteuernde Leistungsteil errelcht. Die Istwert-lnformationen werden jedoch nicht nur uber den Bus 
C AN_A der Robotersteuerung 36. sondern auch uber die Busleitungen CAN_A und C AN_B redundant dem Safety-Con- 
troller 38 ubertragen, um dort uberwacht zu werden. 

[0056] In Fig. 3 ist ein detallierter Aufbau des Safety-Controllers 38 dargestellt. Der Safety-Controller 38 wird von 
einem externen Netzgerat 74 mit Energie versorgt. Jedem Mikrocomputer 58, 60 ist ein eigenes Netzteil 76, 78 zuge- 
ordnet, das mit dem Netzgerat 74 verbunden Ist. Die CAN-Controller 62, 64 sind uber Transceiver 80, 82 mit den 
Busleitungen CAN_A und CAN_B verbunden . Des Weiteren sind die Mikrocomputer 58, 60 uber die weiteren CAN-Con- 
troller 68, 70 und Transceiver 84, 86 mit einem ubergeordneten Sicherheitsbus verbunden. Das Interface 42 fur das 
Programmierhandgerat 46 ist iiber den Bus CAN_C einerseits mit der Robotersteuerung 36 und andererseits mit dem 
Programmierhandgerat 46 verbunden, wobei der Bus CAN_C innerhalb des Safety-Controllers 38 physikalisch durch- 
geschleift ist. 

[0057] Die Mikrocomputer 58, 60 sind iiber eine Verbindung 88 zum Datenaustausch miteinander verbunden. Auf 
diese Welse konnen die in den einzelnen Kanalen empfangenen Ist-Werte miteinander verglichen werden. 

[0058] Alternativ zu dem Programmierhandgerat 46 kann der Safety-Controller 38 und/oder das Steuergerat 36 auch 
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liber ein Bedienfeld (nicht dargestellt) bedient werden, dessen Schnittstelle Bestandteil des Safety-Controllers 38 und 
mit zumindest einem der Mikrocomputer 58, 60 verbunden ist. 

[0059] Die Ein-/Ausgabeeinheit 66 umfasst eine Ausgangsebene 92 und eine Eingangsebene 94. Die Ausgangs- 
ebene umfasst Schaittransistoren, die von den Mikrocomputern 58, 60 ansteuerbar sind. Die Eingangsebene 94 um- 
fasst Eingange, an denen Sicherheltsschaltgerate wte Not/Aus-Schalter Oder andere Schaltkontakte anschlieBbar slnd. 
Ein Sicherheitsschaitgerat wird zwischen jeweils einen Eingang des ersten und zweiten Mikrocompulers 58, 60 Oder 
einen Ausgang des ersten und zweiten Mikrocompulers 58, 60 geschaltet. Die Eingange sind Leseeingange des je- 
weiligen Mikrocomputers 58, 60 und die Ausgange sind jeweils Schreibausgange der Mikrocomputer 58. 60. An die 
Ausgangsebene 92 sind z. B. Aktoren wie LeistungsschCitze zur Schaltung elnes Freigabesignals anschlieBbar. Die 
Eingangsebene 94 ist zum Anschluss von Sensoren wie Schaltkontakten, Not-Aus-Schaltern, Naherungsschaltern u. 
a. vorgesehen. 

[0060] Grundsatzllch erfoigt die Ansteuerungdertechnischen Aniage 12 mit zugehorigerSteuerung 36 und Antriebs- 
einheiten 24 - 30 iiber Leistungsschutze bzw. Hauptschiitze K1 , K2, die unmittelbar mit einem Ausgang des Uberwa- 
chungs- und Steuergerates 38 verbunden sind. 

[0061] Alternativ kann die Ansteuerung auch gernaB der Anordnung in Fig. 4 erfolgen, wobel Ausgange des Ober- 
wachungs- und Steuergerates 38 eingespart werden konnen. 

[0062] In Fig. 4 ist ein Prinzipschaltbild zur Ansteuerung der Leistungseinheit der Antriebseinheiten 24 - 30 darge- 
stellt. Dabei sind Uberwachungsschaltkontakte der Schutzturen 20, 22 mit einem SIcherheitsrelaisbaustein 96 verbun- 
den. Ausgange des Safety-Controllers 38 sind mit einem zweiten Sicherheitsrelaisbaustein 98 verbunden. Die Aus- 
gange der Sicherheitsrelaisbausteine sind miteinander gekoppelt und steuern Hauptschiitze K1 , K2 eines Leistungs- 
schalters 1 00. Ober die Hauptschiitze K1 , K2 wird die Antriebseinheit mit Energie versorgt. Die Ansteuerung der Haut- 
pschiitze K1 , K2 erfoigt entweder uber den Safety-Controller 38, die Schutzturen 20, 22 Oder einer Verknupfung beider 
Signale. 

[0063] Die Robotersteuerung 36 kann insgesamt 24 Antriebseinheiten ansteuern, wobei der Safety-Controller 38 in 
der Lage ist, diese Anzahl von Achsen zu iiberwachen. 

[0064] Der Safety-Controller 38 erhalt die Lage-lstwerte der Jeweiligen Antriebseinheiten 24 - 30 iiber die Busse 
CAN_A und CAN_B. Beide Busse dienen der redundanten Lage-lstwerterfassung. Der Bus CAN_A stellt einen be- 
triebsmaBigen Bus fiir die Robotersteuerung 36 dar, wobei der Bus CAN_B eine zusatzliche in das System integrierte 
Ubertragungstrecke darstellt, urn Redundanz zu erreichen. Da es sich in diesem Fall urn zwei unabhangige Obertra- 
gungsmedien handelt, ist die Zweitfehlereintrittszeit ausschlaggebend fiir die Aufdeckung von Hardware-Fehlern in 
einer der beiden Ubertragungsstrecken. Alle uber die Busse CAN_ A Oder CAN_B iibertragenen Nachrichten werden 
in den separaten CAN-Controllern 62, 64 aufbereitet und dem Jeweiligen Mikrocomputer 58, 60 zur Verfiigung gestellt. 
Die iibergeordneten Mikrocomputer 58, 60 sind ebenfalls entkoppelt. Hier handelt es sich somit um ein vollig redun- 
dantes System, was sowohl das Ubertragungsmedium als auch die Verarbeltung von empfangenen Nachrichten an- 
geht. 

[0065] Samtiiche sicherheitsrelevanten Signale werden auf die Eingange der Eingangsebene 94 gelegt. Auf diese 
Weise iibemimmt der Safety-Controller 38 neben Uberwachungsaufgaben auch die Auswertung von Sensoren wie 
elektromechanischer Sicherheitsschalter. Uber die Ausgangsebene 92 konnen Aktoren wie externe elektromechani- 
sche Relaiskombinationen angesteuert werden, welche dann mit externen Signalen, zum Belspiel Schutztur-Signalen 
verkniipft werden konnen Oder die Ausgange des Safety-Controllers 38 werden direkt mit den Leitungsschutzen K1 , 
K2 verbunden. 

[0066] In Fig. 5 Ist ein Blockschaltbild der Antrlebssteuerung 50 mit Resolver 48 dargestellt. Die Antriebssteuerung 
50 besteht aus den redundanten Kreisen 52 und 54. Der Kreis 52 weist einen Mikrocomputer 1 02 auf, der den CAN-Con- 
troller 56 als integralen Bestandteil und Chip aufweist. Uber einen Transceiver 1 04 ist der CAN-Controller 56 mit dem 
Bus CAN_A, bestehend aus den Datenleitungen CAN_A_H und CAN_A_L verbunden. Des Weiteren enthalt der Mi- 
krocomputer 102 ein internes SRAM 106, eine lO-Steuerung 108 sowie eine IR-Verarbeitung 110 und ist uber einen 
Bus 112 mit einem Analog-Digitalwandler verbunden. Ein Ausgang 116 des Analog-Digitalwandlers 14 ist einerseits 
direkt mit dem Mikrocomputer 102 und andererseits uber einen Teller 117 mit dem Mikrocomputer 1 02 verbunden. 
[0067] Derzwelte Kanal 54 weist einen ersten Signalprozessor 120 mit einem internen SRAM-Speicher sowie einer 
intemen IR-Verarbeitung 124 auf. Der erste Signalprozessor 120 ist uber ein DPRAM 126 mit einem zweiten Signal- 
prozessor 128 verbunden. Dieser wiederum ist uber ein DPRAM 130 mit dem Mikrocomputer 102 gekoppelt. Der 
Signalprozessor 128 ist mit einer Ansteuerung 132 verbunden, die den CAN-Controller 58 steuert. Der CAN-ControM er 
58 ist fiber einen Transceiver 1 34 mit dem Bus CAN_B verbunden , der die Leitungen CAN_B_H und CAN_B_L umfasst. 
[0068] Uber einen Bus ist der Signalprozessor 1 20 einerseits mit einem Analog-Digitalwandler 1 36 und andererseits 
mit einem Steuerwerk 138 verbunden, in dem ein Timer, ein Zahlwerk und ein Zustandsgenerator enthalten sind. Das 
Steuenverk 138 ist des Weiteren fiber einen Bus mit dem Mikrocomputer 102 verbunden. Auch ist das Steuerwerk 138 
fiber einen Bus mit einem Frequenzgenerator 140 verbunden, der ein Referenzsignal fiir den Resolver 48 erzeugt. 
Dafiir ist ein Ausgang des Frequenzgenerators 140 mit einem Eingang 142 des Resolvers verbunden. SchlieBlich 
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weist das Steuerwerk 138 einen welteren Ausgang auf, an dem ein Signal SOC (start of convertion) anllegt. DIeser 
Ausgang ist mit einem Eingang der Analog-Digitalwandler 114, 136 verbunden. 

[0069] Der Resolver weist einen ersten Ausgang 1 44 auf, an dem ein Sinus-Signal abgreifbar ist. Der erste Ausgang 
144 Ist liber einen Verstarker jeweils mit einem Eingang der Analog-Digitalwandler 114, 136 verbunden. Ferner weist 
5 der Resolver einen zweiten Ausgang 146 auf, an dem ein Cosinus-Signal abgreifbar Ist. Der zwelte Ausgang 146 ist 
uber einen Verstarker jeweils mil einem Eingang der Analog-Digitalwandler 114, 136 verbunden. Der Resolver 48 ist 
uber eine Welle 148 und einem Motor 150 gekoppelt. Dabei Ist der Resolver 48 synchron zu Motorphasen Jusllerl. 
[0070] Mit Bezugzu Fig. 2 ist anzumerken, dass die Antriebssteuerung 50 eine eigenstandige Einheit darstellt, wobei 
der Safety-Controller 38 keinerlei Einfluss auf die Antriebssteuerung 50 ausiibt. Detektiert die Antriebssteuerung 50 
10 einen Fehler, so wird diese Meldung direkt an den Safety-Controller 38 gemeldet Oder in der Antriebssteuerung 50 
wird eine Impulssperre aktivicrt, d. h. das Senden von Istwert-lnformationen wird eingestellt. Da der Safety-ControU er 
38 eine Zeiterwartungsschaltung gegenuber den Istwert-Signalen hat, fuhrt das Fehlen dieser Istwert-Signale dazu, 
dass die Hauptschutze K1 und K2 durch den Safety-Controller 38 abgeschaltet werden, wodurch die Aniage in einen 
sicheren Zustand uberfuhrt wird. 

15 [0071] Die Istwert-Generierung erfoigt, indem dem Resolver 48 uber den Eingang 142 ein Referenzsiginal zugefuhrt 

wird. Das Referenzsignal wird in dem Referenzfrequenzgenerator 140 erzeugt, der vom Steuerwerk 138 angesteuert 
wird. In dem Steuerwerk 138 ist ein zentraler Timer integriert, der Impulse fur eine Zahlstufe und einen damit verbun- 
denen Zustandsgenerator erzeugt. Im Scheitelpunkt der Referenzspannung liegt das Signal SOC (start of convertion) 
fiir die Analog-Digitalwandler 114, 136 an. Neben einer Spule, der das Referenzsignal zugefuhrt wird, weist der Re- 
20 solver 48 zwei weitere Spulen auf, die vorzugsweise mit der Motorwefle gekoppelt sind und an denen eine Sinus- und 

Cosinus-Spannung abgreifbar ist. 

[0072] Der Referenzspule wird das Referenzsignal vorgegeben, welches induktiv auf die Sinus- und Cosinus-Spule 
gekoppelt wird. Je nach Lage der Sinus-ZCosinus-Spule erhM man ein SInus/Cosinus-Signal an den Ausgangen 1 44, 
146 mit konstanter Amplitude und Frequenz. Je nach Lage des Rotors resultiert eine Phasenverschiebung (0 ... 360°) 
25 zwischen dem Referenzsignal und den Sinus- bzw. Cosin us-Signalen. Im Scheitelpunkt des Referenzsignals bzw. der 
Referenzspannung werden die Sinus- und Cosinus-Signale abgetastet und aus dem VertiMnis der beiden Amplituden 
wird eine Ist-Position innerhalb einer Resolverumdrehung berechnet. Ein Rotationswinkel ip von 0 bis 360° entsprichl 
bei einer Auflosung von 12 Bit einem Istwert von 0 bis 4096 Inkrementen . Der Resolver 48 muss synchron zu der 
Motorphase justiert werden, um ein maximales Drehmoment zu liefern. Das heiBt, der Phasenwinkel ip = 0 ist einzu- 
30 stellen. Beim GroBerwerden des Phasenwinkels nimmt das Drehmoment des Motors stetig ab und ist bei ip = +90° 

und <p = -90° genau Null. Ubersteigt der Phasenwinkel ip = ± 90°, entsteht eine Umpolung der Wirkrichtung, d. h. eine 
positive Drehzahivorgabe bewirkt, dass der Motor In negative Richtung dreht. Dadurch wurde der Regelkreis in einen 
instabilen Zustand kippen, und der Motor ware nicht mehr regelbar. 

[0073] Um eine solche Umpolung der Wirkrichtung zu erkennen, Ist in der Motorsteuerung eine Drehzahlplausibili- 
35 tatsprufung vorgesehen. Dabei wird das Vorzeichen des Drehzahl- bzw. Lage-Sollwerles standig mil dem Vorzelchen 
des Drehzahl- bzw. Lage-lstwertes verglichen. Sind beide Vorzeichen uber eine definierte Zeitdauer kontrer, so kann 
davon ausgegangen werden, dass eine Umkehr der Wirkrichtung vorliegt. Das Beobachten iiber eine definierte Zeit- 
dauer ist notwendig, um zu verhindern, dass bei betriebsmaOigen Regelschwingungen die Uberwachung nicht an- 
spricht. 

40 [0074] Die an den Ausgangen 144, 148 des Resolvers 48 aniiegenden Sinus- bzw. Cosinus-Signale werden den 

Analog-Digitalwandlern 140, 136 zugefuhrt. Nach erfoigter Wandlung liefert der Analog-Digitalwandler 136 ein Signal 
EOC (end of conversion), wodurch der Betiiebssystemzyklus des Signalprozessors 120 angestoBen wird. Nurdann, 
wenn der Betriebssystemzykius ordnungsgemaB ablauft, werden die entsprechenden Lage-lstwerte uber das DPRAM 
126 an den Signalprozessor 128 weltergeleitet, der diese uber die Ansteuerung 132, den CAN-Controller 38 und den 
45 Transceiver 1 34 auf den Bus CAN_B ubertragt, uber den die Ist-Werte zu dem Safety-Controller 38 ubertragen werden. 
Sollte der Betriebssystemzykius nicht ordnungsgemaB angestoBen werden, wird ein Signal “STOP- 0", d. h. sicherer 
Betriebshalt, uber den Bus CAN_B an den Safety-Controller 38 gesendet. Die Fehlermeldung "STOP - 0" bewirkt ein 
Stillsetzen der Aniage durch ein sofortiges Ausschalten der Energiezufuhr zu den Antriebseinheiten, was auch als 
ungesteuertes Stillsetzen bezeichnet wird. 

50 [0075] Der AD-Wandler 114 liefert nach erfolgreicher Wandlung der Eingangssignale ein Signal EOC (end of con- 

version), welches uber den Timer 118 in einen Interrupt-Eingang des Mikrocomputers 102 geleitet wird. Intern wird die 
Zeit zwischen zwei eingetroffenen EOC-Interrupts gemessen, um eine Abweichung der Referenzfrequenz vom Fre- 
quenznormal, vorzugsweise 7,5 kH, Oder ein volllges Ausbieiben der Referenzfrequenz, z. B. beim Ausfall des zentralen 
Timers festzustellen. In diesem Fall wird eine Impulssperre aktiviert und es erfoigt ein Signal "STOP - 0" uber den Bus 
55 CAN_A an den Safety-Controller 38. 

[0076] Sobald der Signalprozessor 122 das Signal EOC erhalt, wird ein interner Timer angestoBen, der in einem 
zykiischen Verwaltungsteil des Beth ebssy stems dekrementiert wird und dann anspricht, wenn der Zahlerstand den 
Wert Null erreicht, d. h. wenn das Signal EOC ausfallt. Auch in diesem Fall wird die Impulssperre aktiviert. Durch die 
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Impulssperre wird der Motor ‘'momentenfrei" geschaltet. Bei Ansprechen des Watchdogs wird ein Hardware-Test aus- 
gelost und der Safety-Controller 38 uberfuhrt die Aniage 12 in einen sicheren Zustand. 

[0077] Ferner sind elne Vielzahl von MafBnahmen zur Fehlererkennung und Fehlerbehandlung vorgesehen. Zur 
Uberprtifung der Analog-Digitalwandler 114, 136, des Referenzfrequenzgenerators 140sowieder Ausgange 144, 146 
des Resolvers 48 wird eine Plausibilitatsprufung durchgefuhrt. Die Plausibililatsprufung erfoigt uber die beiden Ampli- 
luden der Slnus-ZCosInus-Signale des Resolvers 48 in der Weise, dass die Summe der Ampliludenquadrate (sin <p )2 
(cos <p )2 idealerweise die Summe x mil x im Bereich von 0.9 < x < 1 . 1 vorzugsweise x = 1 ergibt. Um ein Ansprechen 
der Plausibilitatsprufung aufgrund von Storungen wie z. B. Rauschen auf den Signalleitungen zu unterdrucken, wird 
die Summe x mit einem definierten Toleranzfenster versehen. Voraussetzung fur die Plausibilitatsprufung ist die Nor- 
mierung der Sinus-ZCosinus-Signale, die einmal festgelegt und anschliefBend nicht mehr geandert werden. 

[0078] Bei nicht-plausiblen Amplituden fur Sinus- und Cosinus-Signale sendet jeder Kanal 62, 64 separat das Signal 
"STOP - 0" an den Safety-Controller 38. Die Istwert-Bildung und die Plausibilitatsprufung werden redundant in den 
Mikrocomputern 102, 120 ausgefiihrt, wobei der Mikrocomputer 102 mit einer reduzierten Erfassungsrate arbeitet. 
Eine Erfassung je 32 Perioden entspricht 32 x 132 ps = 4,2 ms (10 ms/U bei max. 6000 U/mln). Der Mikrocomputer 
102 sendet seine Ist-Werte uber den Bus CAN_A, und der Mikrocomputer 120 sendet seine Ist-Werte fiber den Si- 
gnalprozessor und den Bus CAN_B an den Safety-Controller 38. der als sicherer Vergleicher die empfangenen Werte 
priift. Gleichzeitig fiihren die Mikrocomputer 102 und 120, 128 fiber das DPRAM 130 einen internen Kreuzvergleich 
durch und reagieren im Fehlerfall durch Betatigen der Motorbremse und Aktivierung der Impulssperre und Absetzen 
des Sogals "STOP - 0" uber die Busse CAN_A und CAN_B. Hier sei angemerkt, dass die Aktivierung der Impulssperre 
den Motor schneller slillsetzt als der Safety-Controller 38. 

[0079] Zur Uberwachung des statischen Versatzes zwischen Geber und Motorwelle bzw. zur Uberprfifung einer Fehl- 
justierung des Resolvers 48 sowie zur Uberprfifung eines dynamisch unkontrollierten Schlupfes zwischen Resolver 
48 und Motorwelle 148 wird eine Drehzahl-Plausibilitmsprufung durchgefuhrt. Auch die Drehzahlplausibilitatsprufung 
erfoigt redundant in den Mikrocomputern 102, 120. Beide Mikrocomputer 102, 120 senden im Falle einer ansprechen- 
den Uberwachung unabhangig voneinander das Signal "STOP - 0" fiber die Busse CAN_A bzw. CAN_B an den Safe- 
ty-Controller 38. Die Drehzahl-Plausibilitatsprfifung kann nur ordnungsgemaB arbeiten, wenn die Lage- und Drehzahl- 
regelung aktiv ist, d. h. im Normalbetrieb bei eingeschalteten Antheben. 

[0080] In einem sogenannten "Power-Down-Modus", d. h. die Antriebe liegen nicht an Betriebsspannung, wird eine 
Stillstandspriifung von den Mikrocomputern 102, 120 durchgefuhrt, in dem die Istwerte der Antriebe erfasst werden. 
Erfoigt eine Veranderung der Istwerte fiber eine eingestellte Toleranzgrenze hinaus, wird in den Mikrocomputern ein 
Merker "Maschine asynchron" gesetzt. Die beiden Asynchron-Merker werden nach dem Wiederanlauf an den Safe- 
ty-Controller 38 gesendet und dort verglichen. 

[0081] Des Weiteren erfoigt eine Drehzahl-Plausibilitatsprfifung, um eine Umpolung der Wirkrichtung mit Antrieb zu 
erkennen. Dabei wird ein Vorzeichen des Drehzahl- bzw. Lage-Sollwertes standig mit einem Vorzeichen des Drehzahl- 
bzw. Lage-lstwerles verglichen. Sind beide Vorzeichen fiber eine definierte Zeitdauer kontrar, so kann davon ausge- 
gangen werden, dass eine umgekehrte Wirkrichtung vorliegt. Das Beobachten fiber eine definierte Zeitdauer ist not- 
wendig um zu verhindern, dass bei betriebsmaBigen Regelschwingungen, die Uberwachung anspricht. Die zulassige 
Regelschwingung muss definiert sein. 

[0082] Bei einem Phasenversatz zwischen Resolver 48 und Motorwelle 1 48, der kleiner ist als ± 90° sowie bei einem 
dynamisch unkontrollierten Schlupf des Resolvers auf der Motorwelle 148 sprichteine zweikanalige Schleppabstands- 
uberwachung in dem Signalprozessor 128 sowie dem Mikrocomputer 102 an. Zunachst wird eine Differenz zwischen 
Lage-lstwert und Lage-Sollwert (Regelabweichung) gebildet. AnschlieBend erfoigt eine Prufung, ob die ermittelte Re- 
gelabweichung innerhalb eines Toleranzbereichs liegt. Bei Uberschrelten des Toleranzbereichs fordert der Mikrocom- 
puter 102 und der Signalprozessor 128 das Signal "STOP - 0" vom Safety-Controller 38 an. Die Schleppstandsprufung 
wird in jedem Lage-Regeltakt durchgefuhrt, der vorzugsweise 2 ms betragt. 

[0083] Des Weiteren erfolgen interne Fehleraufdeckungsmechanismen in dem Mikrocomputer 102 sowie dem Mi- 
krocomputer 120. Das Signal EOC des AD-Wandlers 114 wird dem Mikrocomputer 102 uber zwel Interrupt- Eingange 
152, 154 gesendet. Dem Eingang 152 wird das Signal EOC unmittelbar zugefuhrt, wobei der Eingang 154 das Signal 
EOC erhalt, nachdem es den programmlerbaren Teller 118, vorzugweise mit einem Teilerverhaltnis 1 : 32 durchlaufen 
hat. Im Normalbetrieb ist nur der Eingang 154 aktiv. Im "Power Down-Modus" ist nur der Interrupt-Eingang 152 aktiv, 
da der Teilerbaustein 118 im "Power-Down-Modus" spannungslos ist. Im Normalbetrieb ist die Zeit zwischen zwei 
Betriebssystem-Durchlaufen vorzugsweise 2 ms, kleiner als die Zeit zwischen zwei SIgnalen EOC, vorzugsweise 4 
ms. Liegt ein Signal EOC am Interrupt-Eingang 1 54 an, wird eine Interrupt-Routine angesprungen, in welcher folgende 
Aktionen ausgefuhrt werden: Zunachst wird ein I nterrupt-Merker gesetzt, dann wird ein Zahler (Wertebereich 0...2000 
ms) ausgelesen und abgelegt und anschlieBend wird der uber den Bus 112 zugeffihrte Digitalwert gelesen und abge- 
speichert. Das Betriebssystem testet in jedem Durchlauf den Interrupt-Merker um zu prufen, ob zuvor ein Interrupt 
aufgetreten Ist. Ist kein Interrupt aufgetreten, wird ledigllch ein Betriebssystemzyklus-Zahler inkrementiert. Ist hingegen 
ein Interrupt aufgetreten, wird aus der Differenz Timer-Zahler (aktuell) minus Timer-Zahler (Vorganger) und aus der 
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Anzahl der Betriebssystemzykien die genaue Zelt zwischen zwei SIgnalen EOC und somil die Frequenz bestimml. 
Weiterhin wird der abgelegte konvertlerte DIgitalwert verarbeitet und der Betrlebssystem-Zykius-Zahler sowie der In- 
terrupt-Merker auf Null gesetzt. Wird nach einer definierten Zahl von Betriebssystem-Durchlaufen kein Interrupt regi- 
striert, wird davon ausgegangen, dass ein Hardware-Fehler im zenlralen Timer 138 vorliegt. 

5 [0084] In dem Mikrocomputer 120 erfoigt keine Frequenzprufung des Signals EOC, sondern nur eine Prufung auf 

Vorhandensein des Signals EOC uber einen Software-Watchdog. Bei Eintreffen des Signals EOC an den Mikrocom- 
puter 120 erfoigt ein Interrupt, wodurch ein inlerner Timer aufgezogen wird, der in einem zykiischen Verwallungsleil 
(Warten auf Interrupt) des Betriebssystems dekrementiert wird und dann anspricht, wenn der Timer den Zustand Null 
aufweist, d. h., wenn das Signal EOC ausgefallen ist. In diesem Fall wird die Impulssperre aktiviert. 

10 [0085] Bei Aktivierung der Impulssperre wird ein Steuereingang eines IGBT-Leistungsteils zuruckgenommen, wo- 

durch der Antrleb "momentenfrei" wird. Fur diesen Steuereingang werden in einer Hardware die Ansteuersignale des 
Kanals 52 und des Kanals 54 miteinander verknupft. Wird ein Ansteuersignal eines Kanals 52, 54 zuruckgenommen, 
wird die Impulssperre an dem IGBT gesetzt. Die Ansteuerung der Impulssperre ist zweikanalig und wird erst nach der 
Verknupfung In der Hardware einkanalig. 

15 [0086] Zur Istwert-Aufnahme durch den Safety-Controller 38 ist Folgendes anzumerken. AIs erster Kanal fur eine 

redundante Istwert-Aufnahme dientdem Safety-Controller 38 der betriebsmaBige Bus CAN_A. Auf diesem Bus werden 
neben den Istwert-Signalen auch betriebsmaBige Daten ubertragen. Die Ubertragungsgeschwindigkeil kann bis zu 1 
Mbit/s betragen. Da der Bus bis 92 % ausgelastet sein kann, erfoigt keine Sicherung der Datenbites auf einer hoheren 
Ebene. Der Safety-Controller 38 filtert sich aus den anstehenden Informationen die Istwert-Signale heraus. 

20 [0087] Derzweite Kanal ist ein zusatzlicher physikalisch getrennter Bus CAN_B. Seine Funktion ist es, die zwelten 

Kanale 54 der Antriebseinhelten zur Istwert-Erfassung mit dem zweiten Kanal des Safety-Controllers 38 zu verbinden. 
Die in dem Kanal 54 der Antriebssteuerung50 generierten Daten werden unabhangig von Kanal 52 auf den Bus CAN_B 
gelegt. Somit erfoigt eine redundante unabhangige Datenubertragung in den Safety-Controller 38. In dem Safety-Con- 
troller 38 werden die Daten mit getrennten Transceivern 80, 82 aufgenommen und mit getrennten CAN-Controllern 
25 62, 64 verarbeitet. 

[0088] Liegt eine Nachricht an dem Transceiver 80, 82 an, wird diese dem CAN-Controller 62, 64 gemeldet. Der 
CAN-Controller 60, 64 entscheidet, ob diese Nachricht mit einem Identifier beginnt, welcher als Istwert-Information 
deklariert wurde. Ist dies der Fall, so lost dieser ein interrupt in dem Mikrocomputer 58, 60 aus. Der Mikrocomputer 
50, 60 liest den CAN-Controller 62. 64 aus. Hat der Mikrocomputer 58, 60 alle Istwerte innerhalb einer definierten Zeit 
30 erhalten, laufen die Transformationsroutinen ab. Dieser Vorgang geschieht in beiden Mikrocomputern 58, 60 unab- 
hangig. 

[0089] Die Robotersteuerung 36 und/oder der Safety-Controller 38 werden uber das Programmierhandgerat 46 pro- 
grammiert. Das Programmierhandgerat 46 ist uber eine flexible Leitung 44 mit dem Safety-Controller 38 und dem Bus 
CAN_C verbunden, um Programmierbefehle vom Programmierhandgerat 46 zu der Robotersteuerung 36 zu iibertra- 
35 gen. Diese Busleilung ist innerhalb des Safety-Controllers 38 durchgeschliffen und hat keine elektrische Verbindung 
mit den internen Komponenten, wie z. B. den Mikrocomputern des Safety-Controllers 38. 

[0090] Neben den betriebsmaBigen Funktionstasten enthalt das Programmierhandgerat 46 sicherheitsgerichtete 
Schalter bzw. Taster wie Notaus-Schalter, Betriebsartenwahlschalter, Zustimmungstaster, Eintaster und Austaster. Die 
Ausfuhrung der sicherheitsrelevanten Schaltelemente des Programmierhandgerates 46 wird anhand der Fig. 6 bis 9 
40 erlautert. 

[0091] Ein im Programmierhandgerat 46 integrierter Notaus-Schalter 156 (Fig. 6) wird auf Querschluss Ciberwacht, 
da.die Zuleitung 44 starken Beanspruchungen unterworfen ist. Die Querschluss-Erkennung wird mit Hilfe von durch 
Schaltelemente 158, 160 erzeugte Impulse uber jeweils einen Kanal 162, 164 realisiert. Die Kanale bzw. Leitungen 
162, 164 sInd uber die Schaltelemente 158, 160 mit einer externen Versorgungspann ung innerhalb des Programmier- 
45 handgerates 46 verbunden. Die Leitungen 1 62, 1 64 sind mit Eingangen 1 68, 1 70 des Safety-Controllers 38 verbunden. 
Die Schaltelemente erzeugen einen Takt zum Testen der Leitungen 162, 164 innerhalb von Halbleitergruppen in dem 
Safety-Controller 38. Dieser hat gegenuber dem erzeugten Takt eine Zeiterwartungshaltung. Wird ein Kanal 1 62, 164 
mit einem Takt beaufschlagt, werden alle weiteren Eingange 168, 170 auf Eingangs-Zustandsanderungen Ciberwacht. 
Die Freigabe eines Ausgangs wird erst erlaubt, nachdem das Programmierhandgerat 46 die jeweillgen Impulse Ciber 
30 die Notaus-Kanale 162, 164 gesendet hat und die Zeiterwartung gesetzt wurde. 

[0092] Des Weiteren weist das Programmierhandgerat 46 einen Betriebsartenwahlschalter 1 72 (Fig. 7) auf, der als 
SchlQsselschalter ausgebildet ist. Das Programmierhandgerat erzeugt Ciber einen Taktgenerator 174 einen Takt, der 
sIch von dem Takt der Notaus-Einrichtung unterscheidet. Die Stellung des Bethebsarten-Wahlschalters 1 72 wird einer 
Plausibilitatspriifung unterzogen. Der Betriebsartenwahlschalter weist in dem hier beschriebenen AusfCihrungsbeispiel 
35 drei SchlieBerkontakte 1 76, 1 78, 1 80 auf, wobei ein SchlieBer des Betrlebsartenwahlschalters 1 72 immer geschlossen 
sein muss und zwei SchlieBer immer im geoffneten Zustand bleiben mCissen. Es wird nur eine Stellung des Betriebs- 
artenwahlschalters akzeptiert. Insgesamt konnen drei Funktionsarten eingestellt werden. Dabei Ist die Funktionsart 
“AUTO” nur mit geschlossenem Schutzgitter (20, 22) moglich. Die Funktion "EINRtCHTEN" wird auf sicher reduzierte 



BNSDOCID: <EP 1247622A2_I_> 



11 




EP 1 247 622 A2 



10 



15 



20 



25 



30 



35 



40 



45 



SO 



55 



NSOOCtD: <EP. 



Geschwindigkeit. wie nachfolgend erlautert. uberwacht und die Funktion "AUTO-TEST" kann nur mit Hilfe eines 2u- 
stimmungstasters 182 ausgefuhrt werden. 

[0093] In Fig. B ist prinzipiell die Funktion des Zustimmungstasters 182 dargestellt. Der Zustimmungstaster ist uber 
einen Taktgenerator 184 mit der Versorgungsspannung 166 verbunden. Ein Eingang 186 des Safety-Controllers 38 
Libenwacht den Takt des Taktgenerators 1 84. Der Zustimmungstaster Ist als einkanaliger, dreistufiger Taster ausgefuhrt. 
Dabei wird nur die mitllere Stufe (EIN) ausgewertet. 

[0094] Die Antriebseinrichtungen werden durch einen handelsublichen, nichl sicherheitsgerichlelen Taster 188 des 
Programmierhandgerates 46 eingeschaltet. Die Information wird tiber den CAN_C in die Robotersteuerung 36 einge- 
lesen und iiber den Bus CAN_A dem Safety-Controller 38 mitgeteilt. Die Funktion "ANTRIEB AUS" wird durch einen 
handelsublichen Taster mit Offnerfunktion ausgelost. Diese Funktion darf von beliebig vielen Stellen aus erfolgen. 
Diese Information wird in den Safety-Controller 38 eingelesen und uber den Bus CAN_A der Robotersteuerung mit- 
geteilt. 

[0095] Wie schon zuvor erwahnt, kann der Safety-Controller 38 und/oder die Robotersteuerung 36 iiber das Pro- 
grammierhandgerat46 parametriert werden. In dem Programmierhandgerat ist eine Betriebs- bzw. Anwendersoftware 
enthalten. Nach der vollstandigen Parametrierung muss der Bediener einen Abnahmetest durchfuhren und slcher- 
heitsrelevante Funktionen testen. Sicherheitsrelevante, nicht veranderliche Daten, welche als Grundparametrierung 
geladen werden rniissen, konnen mit Hilfe eines Personalcomputers iiber eine serielle Schnittstelle geladen. Alle ge- 
ladenen Daten werden zwecks Bestatigung durch den Anwender in ein anderes Format und Darstellung vom Safe- 
ty-Controller 38 zum Personalcomputer zuriickgeschickt. Der Anwender muss die empfangenen Daten bestatigen. 
[0096] Nach dem Stand der Technik weisen Handhabungsgerate mechanische Nocken auf, die jewellige Sicher- 
heitsbereiche absichern. Diese Nocken befinden sich entweder direkt auf den Roboterachsen Oder falls es sich urn 
Linearmotoren handelt, sind diese Nocken zum Beispiel als Endschalter am Ende einer Bahn ausgebildet. 

[0097] ErfindungsgemaB Ist vorgesehen, dass die Bewegungen des Roboters 12 um seine Achsen Ciber "elektroni- 
sche Nocken" gesichert sind. Dabei ist der "elektronische Nocken" als Werteberelch in einem Speicher der Mikrocom- 
puter 58, 60 im Safety-Controller 38 abgespeichert, dem ein bestimmter Bewegungsbereich des Roboters zugeordnet 
ist, wobel die abgespeicherten Werte mit iiber den Bussen CAN__A und CAN_B iibertragenen Lage-lstwerten verglichen 
werden. Solange sich der Antrieb, d. h. die Lage-lstwerte im definierten Bereich des elektronischen Nockens befindet, 
wird dies als korrekte Funktion definiert. Die zu iiberwachende Achse befindet sich in ihrer Sollposition. Wird der elek- 
tronische Nocken, d. h. der gespeicherte Wertebereich verlassen, verlasst die Achse ihre Sollposition und der Safe- 
ty-Controller 38 nimmt einen Ausgang, der diesem Wertebereich zugeordnet Ist, zuriick. Dieser Ausgang kann direkt 
auf die Hauptschutze K1 , K2 wirken Oder kann iiber Relaiskombinationen mit externen Schutzeinrichtungen, wie zum 
Beispiel den Schutztiirkontakten 20, 22, verknupft werden. 

[0098] Wenn eine Bedienperson den Schutzraum 14 betreten mochte, wird eine Sicherheitsposition bzw. "SAFE 
POSITION" angefahren. In diesem Fall werden alle Achsen 23 - 29 auf Stillstand uberwacht. Die Sicherheitsposition 
kann ausgewahll Oder aulomalisch angeforderl werden, wobei durch das Uberwachungs- und Sleuergeral beim An- 
fordern uber die Robotersteuerung 36 eine aktive Uberwachung dieser Funktion automatisch erfoigt. 

[0099] Wird die Sicherheitsposition von der Robotersteuerung 36 angefordert, fahrt der Roboter 12 in eine definierte 
Position. Wenn alle Antriebseinheiten 24 - 30 bzw. alle Achsen 23 - 29 zum Stillstand gekommen sind, setzt der Safe- 
ty-Controller 38 in der Ausgangsebene 92 einen Ausgang. Dieser Ausgang ist zum Beispiel mit einem Sicherheitskon- 
takt der Schutztur 20, 22 verknupft. Die Schutztur 20, 22 kann geoffnet werden, ohne dass eine Fehlermeldung eine 
Abschaltung erzeugt, da der Roboter 12 auf Stillstand uberwacht wird. Verlasst eine der Antriebseinheiten 24 - 30 bzw. 
eine der Achsen die uberwachte Position, nimmt der Safety-Controller 38 den vorher gesetzten Ausgang zuriick. Dieser 
Ausgang ist entsprechend der Steuerungskategorie 3 nach EN 954 - 1 extern mit der Schutztur 20, 22 verknupft. Wird 
die Schutztur 20, 22 geoffnet wahrend sich eine Oder mehrere Antriebseinheiten 24 - 30 bewegen, fallt der Ausgang 
des Safety-Controllers 38 beim Offnen der Schutztur 20, 22 ab und die Hauptschutze K1 und K2 werden nicht weiter 
bestromt (vgl. Fig. 4). 

[0100] In Fig. 10 ist ein Ablaufdiagramm 190 dargestellt, in dem die Ablaufschritte zur Einstellung der Sicherheits- 
position (SAFE POSITION) aufgezeigt werden. Der Programmablauf erfoigt redundant in den Mikrocomputern 58, 60 
des Safety-Controllers 80. Die Erlauterung erfoigt anhand des Programmablaufs in dem Mikrocomputer 58 (CPU 1). 

In einem ersten Schritt 192 fordert die Robotersteuerung 36 uber den Bus CAN_A die Sicherheitsposition an. Ober 
eine Eingabe 1 94, 194’ werden den jeweiligen Mikrocomputern 58, 60 die redundanten Lage-lstwerte iiber die Busse 
CAN_A und CAN_B zugefiihrt. Der Empfang der Anforderung der Robotersteuerung starlet in einem Schritt 1 96, 196' 
den Programmablauf. In einem zweiten Schritt 198, 198' wird abgefragt, ob eine Anfordemng der Sicherheitsposition 
vorliegt. Liegt eine Anforderung an, wird in einem nachsten Programmschritt 200, 200* der aktuelle Lage-lstwert aller 
Achsen mit der Sicherheitsposition verglichen. In einem nachsten Programmschritt 202, 202' wird festgestellt, ob der 
Lage-lstwert im Bereich der Sicherheitsposition liegt. Wenn dies nicht der Fall ist. wird in einem Programmschritt 204, 
204' eine Fehlermeldung erzeugt, wodurch die Sicherheitsposition zuruckgesetzt wird und die Antriebe ausgeschaltet 
werden. 
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[0101] Liegen die Lage-lstwerte im Bereich der Sicherheitsposition, erfoigt in einem weiteren Programmschritt 206, 
206' eine Statusubergabe von Mikrocomputer 58 an Mikrocomputer 60 und umgekehrt. Im Programmschritt 208, 208' 
erfoigt ein Vergleich, ob der Status des Mikrocomputers 58 dem Status des Mikrocomputers 60 und umgekehrt ent- 
spricht. 1st dies nicht der Fall, wird im Programmschritt 210, 210' eine Fehlermeldung erzeugt und der Roboter wird 
5 in einen sicheren Zustand uberfuhrt. Entspricht der Status des Mikrocomputers 58 dem Status des Mikrocomputers 
60 und umgekehrt, wird in einem Programmschritt 212, 212' von jedem Mikrocomputer 58, 60 in der Ausgangsebene 
92 jeweils ein Ausgang "SAFE POS_1" und "SAFE POS_2" gesetzl. AnschlieBend erfoigt in einem Programmschritt 
21 4, 214' ein Rucklesen des Ausgangs "SAFE POS_2" durch den Mikrocomputer 58 bzw. ein Rucklesen des Ausgangs 
"SAFE POS_1" durch den Mikrocomputer 60. In einem Programmschritt 216, 216' wird uberpruft, ob die Ausgange 
10 "SAFE POS_1 " und "SAFE POS_2" die gleichen Zustande aufweisen. 1st das der Fall, wird dies uber den Programm- 
schritt 218, 218' dem Eingang 198, 198' zuruckgemeldet. Anderenfalls wird im Programmschritt 220, 220' eine Feh- 
Icrmeldung erzeugt, die Ausgange werden zuriickgesetzt und die Antriebe ausgeschaltet. 

[0102] Beim Aniaufen der Robotersteuerung wird eine sichere Synchron-Position benotigt. Ein Ablaufdiagramm zur 
EinstellungderSynchronposition ist in Fig. 11 dargestellt. Die redundanten Mikrocomputer 102, 1 20 der Antriebssteue- 
15 rung 50 prufen nach dem Einschalten bzw. "POWER ON" gegenseitig ihre beim Ausschalten in den Flash-Speicher 
111, 125 abgelegten Lage-lstwerte. Da der Resolver 48 nur auf einer Umdrehung absolut arbeitet, muss in einerzu- 
satzlichen Routine die mechanische Position des Roboters 12sicherzu diesen Lage-lstwerten synchronislert werden. 
Dies geschieht durch Anfahren der Synchronisationsposition 32. Die Auswertung erfoigt durch den Safety-Controller 
und ist in Fig. 11 anhand des Ablaufdiagramms 222 dargestellt. Zunachst werden in einem ersten Programmschritt 
20 224, 224' den jeweiligen Mikrocomputern 58, 56 die Lage-lstwerte nach dem Einschalten uber die Busse CAN_A und 

CAN_B mitgeteilt. 

[0103] Nach dem Start durch Programmschritt 226, 226' in einen nachsten Programmschritt 228, 228' wird festge- 
stellt, dass der Autobetrieb fur den Roboter 12 nach "POWER ON" nicht freigegeben ist. In einem nachsten Programm- 
schritt 230 wird abgefragt, ob eine Anforderung zur Einstellung der Synchronposition uber den Bus CAN_A erfoigt ist. 
25 AnschlieBend erfoigt in einem Programmschritt 232 eine Aufforderung zur Einstellung der Synchronposition von Mi- 
krocomputer 58 an den Mikrocomputer 60, woraufhin in diesem in einem Programmschritt 234 eine Abfrage gestartet 
wird. Ist keine Anforderung zur Einstellung des Synchron-Position erfoigt, wird zu Programmschritt 228, 228' uberge- 
gangen und der Autobetrieb fur den Roboter 12 wird nach "POWER ON" nicht freigegeben. 

[0104] Ist eine Anforderung zur Einstellung der Synchronposition eingegangen, wird in einem nachsten Programm- 
30 schritt 236, 236' uberpruft, ob die Synchronposition errelcht ist. Sollte diese Position nicht erreicht werden, wird in 
einem Programmschritt 238, 238' eine Fehlermeldung erzeugt und der Roboter wird in einen sicheren Zustand gefah- 
ren. 1st die Synchronposition erreicht, wird in einem Programmschritt 240, 240' eine Statusubergabe zwischen den 
Mikrocomputern 58, 60 eingeleitet. AnschlieBend erfoigt in Programmschritt 242, 242' eine Uberprufung, ob der Status 
des Mikrocomputers 58 dem des Mikrocomputers 60 entspricht. Sollte der Status nicht ubereinstimmen, wird in einem 
35 Programmschritt 244, 244' eine Fehlermeldung erzeugt und der Roboter wird in einen sicheren Zustand geschaltet. 
[0105] Stimmt der Status uberein, wird in einem Programmschritt 246, 246' ein Eingang SYNC POS_1 des Mikro- 
computers 58 bzw. ein Eingang SYNC POS_2 des Mikrocomputers 60 uberpruft. Liegt an den Eingangen ein Signal 
nicht an, wird in einem Programmschritt 248, 248' eine Fehlermeldung erzeugt, die anzeigt, dass der Roboter aufgrund 
elnes fehlerhaften Synchronisationsschalters nicht synchron ist. Andererseils wird in einem Programmschritt 250, 250' 
40 bei synchronen Robotern der Autobetrieb freigegeben. 

[0106] In dem hier beschriebenen Ausfuhrungsbelspiel wird die Synchronposition durch den Synchronschalter 32 
definiert. Der Synchronschalter 32 kann durch den Roboter 12 beim Erreichen der Synchronposition aktiviert werden 
Oder anderenfalls kann eine Bedienperson die Synchronposition manuell quittieren. Die Synchronposition muss ein- 
deutig seln. Sie darf durch keine andere Winkelkombination der Roboterachsen erreicht werden. Eine Ungenauigkeit 
45 eines SIcherheitspositionsschalters von ca. 5 is 10 mm kann fur Personensicherheit akzeptiert werden. 

[0107] In jedem Fall mussen die Schutzturen 20, 22 wahrend der Fahrt des Roboters auf die Synchronposition bzw. 
den Synchronschalter geschlossen sein Oder anderenfalls muss die Bewegung des Roboters uber einen Zustimmungs- 
schaltererfolgen. Erstwenn durch den Programmschritt 250, 250' sicher eine korrekte Synchronisation angezeigt wird, 
greifen samtiiche Uberwachungen. Die Anforderung an den Safety-Controller 38, die Synchronposition zu uberwachen, 
50 erfoigt uber die Robotersteuerung 36 und fiber den Bus CAN_A, sobald die Robotersteuerung den Roboter auf die 
Synchronposition positloniert hat. 

[0108] In Fig. 12 sInd schematisch Fahrbereiche von Achsen 252 - 262 dargestellt, die in bestimmten Winkelberei- 
chen achsspezifische, programmierbare "elektronische Nocken" 264 - 274 aufweisen. Diese Nocken 264 - 274 gelten 
nur fur die jeweiligen Achsen 252 - 262. Die elektronischen Nocken 264 - 274 der einzelnen Achsen werden durch 
55 den Safety-Controller 38 gemaB einem in Fig. 14 dargestellten Ablaufdiagramm 276 permanent uberwacht. 

[0109] In einem Programmschritt 278 werden die achsspezifischen Nocken in eine Istwert-Tabelle eingegeben. Des 
Weiteren werden in einem Programmschritt 280, 280' den Jeweiligen Mikrocomputern 58, 60 die Lage-lstwerte den 
einzelnen Antriebseinheiten 24 - 30 bzw. den zugehorigen Achsen 252 - 262 zugefuhrt. Nach dem Programmstart 282, 
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282' erfoigt ein Vergleich zum Beispiel des Lage-lstwertes der Achse 252 mit einer zugehorigen Werte-Tabelle, In der 
der Nocken 264 definiert isl. Sollte der Lage-lstwert zum Beispiel der Achse 252 im Bereich des elektronischen Nockens 
264 liegen, wird im Programmschritt 286, 286’ entschieden, dass im Programmschrin 288, 288’ eine Statusubergabe 
an den Mikrocomputer 58 bzw. den Mikrocomputer 60 erfoigt. Im Programmschritt 290, 290' wird uberpruft, ob der 
Status des Mikrocomputers 58 dem Status des Mikrocomputers 60 und umgekehrt entspricht. Fallt diese Entscheidung 
negativ aus, wird in einem Programmschritt 292, 292’ eine Fehlermeldung erzeugt und der Roboter 12 nimml einen 
sicheren Zustand ein. Anderenfalls wird in einem Programmschritt 294, 294’ ein dem Nocken 264 zugeordneter erster 
Ausgang "Nocken 262_1" durch den Mikrocomputer 58 und ein zweiter Ausgang "Nocken 264_2" durch den Mikro- 
computer 60 gesetzt. In einem weiteren Programmschritt 296, 296' erfoigt ein kreuzweises Rucklesen der Ausgange. 
Sofern die Ausgange den gleichen Zustand aufweisen, wird In einem Programmschritt 298, 298' ein Signal erzeugt, 
dass die sichere Nocke erreicht ist; anderenfalls wird in einem Programmschritt 300, 300' cine Fehlermeldung erzeugt, 
die Nocken werden zuruckgesetzt und die Antriebe ausgeschaltet. 

[ 0110 ] Die Anzahl der Ausgange des Safety-Controllers 38 ist von der jeweiligen Anwendung abhangig. Die elek- 
tronischen Nocken der jeweiligen Achsen252 bis262sind vom Anwenderfrei programmierbar. In Fig. 13 isl das Prinzip 
einer kartesischen Nocke dargestellt. Eine kartesische Nocke 302 bildet einen raumlichen Bereich vorzugsweise einen 
Quader innerhalb des Gesamtverfahrbereichs des Roboters 12. Dabei werden Lage-lstwerte durch eine kinematische 
Transformation auf einen handhabungsgeratespezifischen Punkt 304 wie Roboterflansch bzw. einen TCP (Tool Center 
Point) verrechnet. Eine entsprechende Transformationsroutine ist in den Mikrocomputern 58 bzw. 60 vorhanden. Aus 
den empfangenen Lage-lstwerten werden durch Matrizenoperationen kartesische Koordinaten im kartesischen Raum 
berechnet. In den entsprechenden Matrizen wie z. B. Denavit-Hardenberg-Matrix, wird eine kinematische Kette der 
Roboterachsen abgebildet, wie z. B. ein Vertikalknick-Roboter Oder ein Horizontalschwenkarm-Roboter etc. Diese 
Matrizen sind fur verschiedene Roboter-Kinematiken unterschiedlich. Der Transformationsalgorithmus ist jedoch fur 
alle Kinematiken glelch. 

[ 0111 ] Durch die kartesische Nocke 302 ist eine Uberwachung der Roboterachsen 252 - 262 moglich, wobei dann 
Ausgange in der Ausgangsebene 92 des Safety-Controllers 38 aktiviert werden, wenn sich der Roboter 12 auf einer 
definierten Position bzw. innerhalb eines im Raum definierten Bereichs befindet. Falls der Roboter 12 die gewunschte 
Position nicht erreicht hat Oder sich nicht im entsprechenden Bereich befindet, wird der spezifizierte Ausgang deakti- 
viert. 

[ 0112 ] Die kartesische Nocke 302 kann vom Anwender bellebig programmiert werden. Dabei konnen mehrere kar- 
tesische Nocken programmiert werden. Die Anzahl der Nocken ist durch die maximale Erweiterung an sicheren Ein- 
und Ausgangen auf dem Safety-Controller 38 festgelegt. Die Berechnung/Festlegung der kartesischen Nocken erfoigt 
unter Berucksichtigung der Bremswege der jeweiligen Achse. Wie schon erwahnt, konnen die elektronischen Nocken 
sowohl fur jede Achse einzein, wie in Fig. 1 2 dargestellt, als auch fur die Summe alter Achsen, wie in Fig. 1 3 dargestellt, 
auf kartesischer Basis definiert werden. Die Programmierung der Nocken erfoigt jewells uber Tabellen. Fur jede Achse 
isl eine Tabelle vorgesehen und eine zusatzliche Tabelle fur die kartesische Uberwachung. In jeder Tabelle konnen 
maximal 16 Nocken programmiert werden. In jedem Zykius wird jede Tabelle durchlaufen, um zu uberprufen, ob sich 
eine Achse auf einem programmierten Nocken befindet bzw. ob sich die kartesische Position auf einem Nocken be- 
findet. Ist dies der Fall, so wird ein ebenfalls in der Tabelle programmierter Ausgang gesetzt. Das folgende Beispiel 
soli dies verdeutlichen: 

Beispiel: 



[ 0113 ] 



II Nocken-Tabelle fur Achse 1 (analog dazu Achsen 2 ... 24): 


Nocken-Nr. 


Nocken-Anf. 


Nocken-Ende 


Ausgang-Nr. 


Pegel 


1 


0 Grad 


10 Grad 


10 


1 


2 


170 Grad 


1 80 Grad 


11 


1 




50 mm 


90 mm 
















16 








■ 



NSDOCID: <EP. 



1247622A2_I_> 



14 





EP 1 247 622 A2 



10 



15 



20 



25 



30 



35 



40 



45 



50 



55 



BNSDOCID; <EP. 



Nocken-Tabelle fur kartesische Uberwachung: | 


Nocken-Nr. 


Nocken-Anf. 


Nocken-Ende 


Ausgang-Nr. 


Pegel 


1 


X = 1 0 mm 


X = 2000 mm 








Y = 100 mm 


Y= 1900 mm 








Z = 1 000 mm 


Z = 1 500 mm 


10 


1 


2 


X = 1000 mm 


X = 4000 mm 








Y = 1500 mm 


Y = 5000 mm 








Z = 1200 mm 


Z = 1500 mm 


11 


1 






















16 











[ 0114 ] Die Uberwachung bzw. Einstellung der kartesischen Nocken wird durchein Ablaufdiagramm 306 gemaO Fig. 
15 beschrieben. Die Werle Oder Wertebereiche dersicheren kartesischen Nocken werden in einem Programmschritt 
308 den Mikrocomputern 58, 60 mitgeteilt. In den Programmschritten 310, 310' werden den Mikrocomputern die si- 
cheren Lage-lstwerte uber die Busse zugefuhrt. Nach dem Start gemaB Programmschritt 312, 312' werden in einem 
Programmschritt 314, 31 4‘ zunachst die Roboter Kinemalik, die insbesondere maxima! 2*9=18 Achsen umfassen kann, 
transformlert und der kartesische Istwert des Punktes 304 wird berechnet. Im Programmschritt 316, 316' wird der 
berechnete kartesische Istwert des Punktes 304 jeweils dem anderen Mikrocomputer ubertragen. Andernfalls erfoigt 
im Programmschritt 318, 318' ein Vergieich, ob die kartesischen Istwerte der Mikrocomputer 58, 60 ubereinstimmen. 
Unterscheiden sich die kartesischen Istwerte, wird im Programmschritt 320, 320' eine Fehlermeldung erzeugl und der 
Roboter in einen sicheren Zustand geschaltet. AnschlieBend erfoigt Im Programmschritt 322, 322’ ein Vergieich der 
Lage-lstwerte des TCP mit den in der Tabelle abgespelcherten istwerten des zugehorigen Nockens. Im Programm- 
schritt 324, 324' wird entschieden, ob die Lage-istwerte im Berelch der zugeordneten Nocken liegen. 1st dies der Fall, 
wird im Programmschritt 326, 326' von jedem Mikrocomputer 58, 60 ein der jeweiligen Nocke zugeordneter Ausgang 
gesetzt. Anderenfalls wird zu Programmschritt 314, 314' ubergegangen. Im Programmschritt 328, 328' werden die 
jeweiligen Ausgange kreuzweise zuruckgelesen. Sind beide Ausgange gesetzt, wird nach Programmschritt 330, 330' 
entschieden, dass der sichere Nocken erreicht ist. Sind die Zustande der Ausgange nicht gleich, wird im Programm- 
schritt 332, 332' eine Fehlermeldung erzeugt, die Nocken werden zurCickgesetzt und die Antriebe werden ausgeschal- 
tet. 

[ 0115 ] In einem sogenannten "Einrichtbetrieb" soil der Roboter bzw. ein Roboterflansch mit einersicher reduzierten 
Geschwindigkeit verfahren werden. Grundlage dersicher reduzierten Geschwindigkeitsind die sicheren Lage-lstwerte 
der Achsen 252 bis 262. Die Lage-lstwerte werden in zeitlich gleichen Abstanden ertasst und durch eine kinematische 
Transformation in kartesische Raumkoordinaten umgewandelt und aut den Punkt 304 verrechnet. Aus jeweils zwei 
transform ierten Positionswerten wird durch Differenzieren eine kartesische Geschwindigkeit des Punktes 304 errech- 
net und mit einer maximal erlaubten Geschwindigkeit verglichen. Bei Uberschreiten der erlaubten Maximatgeschwin- 
digkeit wird sofort eine uberwachte Funktion wie z. B. "STOP 1" eingeleitet, wobei die Antriebseinhelten 24 bis 30 auf 
schnellstmogliche Welse stillgesetzt werden, aber die Energiezufuhr zu den Antriebseinheiten belbehalten wird. Nach 
einschlagiger Norm dart sich der TCP Im Einrichtbetrieb mit maximal 250 mm/s bewegen. 

[ 0116 ] Die Uberwachungs-Software muss zykiisch abgearbeitet werden, wobei eine Zykiusrate (Fehlertoleranzzeit) 
nicht uberschritten werden darf. In einem Abschaltzweig liegen ein Transistortreiber und die Hauptschutze K1 , K2, die 
ebenfalls Abschaltzeiten aufweisen. Die Zykiuszeit muss In Abhangigkeit der erreichbaren maximalen Geschwindigkeit 
in den Betriebsarten EINRICHTEN und AUTOTEST, ungunstiger Achsstellungen, z. B. bei groBer Reichweite, der 
Roboterkinematik und vorgegebener Fehlertoleranzzeit festgelegt werden. Die effektive Stillsetzzeit liegt in der Gro- 
Benordnung der ubiichen kontaktbehafteten Schaitgerate. 

[0117] Die Einstellungen der Kinematik, d. h. Definition der kinematischen Kette, Achslangen, Getriebedaten etc. 
sowie die Einstellungen der maximalen Verfahrgeschwindigkeit (maximal 250 mm/s) erfoigt einmalig in einer Initiali- 
sierungsphase beim Hochlaufen der Robotersteuerung 36. Dabei istsicherzustellen, dass die initlallsierten Daten von 
den Mikrocomputern 58, 60 des Safety-Controllers 38 aufgenommen, sicher abgespelchert und vor schreibendem 
Zugriff geschutzt werden. Die Parameter werden vor Ort mit Hilfe der Robotersteuerung 36 vermessen und berechnet 
und mussen anschlleBend von einer Bedienperson verifiziert und bestatigt werden. 

[0118] Wie zuvor erwahnt, wird die Funktion "STOP 1 " fur ein geregeltes schnelles Reduzieren der Geschwindigkeit 
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des Punktes 304 wie foigt uberwacht: Es findet erfindungsgemaB eine Bremsrampen-Uberwachung statt. Bei der kar- 
teslschen Bremsrampenuberwachung soli festgestellt warden, ob der Roboter 12 nach Auslosen z. B. einer "STOP- 
1" bzw. "STOP 2"-Funktion seine Geschwindigkeit verringert. Hierzu warden in zeitlichen Abstanden die Drehzahl- 
bzw. Lage-lstwerte der Achsen eingelesen und kartesisch iransformiert. Dadurch werden die kartesischen Raumko- 
ordinaten zum Beispiel des Tool-Center-Points (TCP) bzw. einer Werkzeugspitze fur das aktuell eingestellte Werkzeug 
berechnet. Durch Subtraktion eines kartesischen Dalensatzes in einem ersten Abtastzeitpunkt von einem Datensalz 
in einem zweiten Abtastzeilpunkl ergibt sich ein Differenzveklor. Uber eine sich ergebende Zeildifferenz zwischen zwei 
Abtastpunkten kann eine kartesische Geschwindigkeit im Raum fiirdie Werkzeugspitze bestimmt werden. Diese er- 
rechnete Geschwindigkeit muss nach Erkennen einer "Stop - 1" bzw. "Stop - 2" - Funktion, die z. B. durch eine Stop- 
Taste Oder einen Not-Aus-Schalter ausgelost wird, geringer werden. 1st dies nicht der Fall, muss eine Funktion "STOP 
- 0" ausgefuhrt werden. 

[0119] Die Bremsrampen-Uberwachung soli mit Hilfe des In Fig. 16 dargestellten Diagramms 334 beschricben wer- 
den. Uber die Abszisse 336 ist die Zeit t aufgetragen und uber die Ordinate 338 ist die Drehzahl n aufgetragen. Zum 
Zeitpunkt TO wird eine Stop-Funktion ausgelost und eine zu diesem Zeitpunkt gemessene Drehzahl Nx wird abgespei- 
chert. Diese Drehzahl ist in dem Diagramm 334 als Parallele 340 zu der Abszisse 336 dargestellt. T max ist ein Zeitpunkt 
nach n-ZykIen, nachdem die Hauptschutze K1, K2 zum Abfallen gebracht werden. Die Linie 342 stellt die aktuelle 
Drehzahl bzw. Geschwindigkeit dar, die zum Zeitpunkt TO der Drehzahl n = Nx und zum Zeitpunkt Tmax der Geschwin- 
digkeit n = 0 entspricht. 

[0120] Zum Zeitpunkt T1 wird die aktuelle Drehzahl mit der Anfangsdrehzahl Nx verglichen. Ist die aus den Dreh- 
zahlen berechnete kartesische Geschwindigkeit zum Zeitpunkt T1 gleich Oder groBer als die aus Nx berechnete An- 
fangsgeschwindlgkeit, wird sofort die Funktion "STOP 0" ausgelost. Ist jedoch die Geschwindigkeit zum Zeitpunkt T1 
kleiner als die Anfangsgeschwindigkeit, wird die Funktion "STOP 1" bis zum Zeitpunkt Tmax ausgefuhrt. Nach dem 
Zeitpunkt Tmax wird automatisch die Funktion "STOP 0" ausgefuhrt. 

[0121] Zum Schutz gegen unerwarteten Aniauf sind die in Fig. 17 dargestellten MaBnahmen vorgesehen. Zunachst 
wird der Schlusselwahlschalter 178 in die Stellung "EINRICHTEN" gestellt und alle Verfahrtasten werden auf "nicht- 
aktiv" uberpriift. Zu diesem Zeitpunkt wird auf sicheren Betrlebshalt uberwacht, Durch einmaliges Betatigen des Zu- 
stlmmungstasters 182 wird die Uberwachung der sicher reduzierten Geschwindigkeit durch den Safety-Controller 38 
eingeleitet. Ab diesem Zeitpunkt ist ein Verfahren des Roboters 12 mit den standardmaBigen Verfahrtasten moglich. 
Steht der Roboter 12 jedoch langer als eine Zeitspanne Tx in Ruhestellung, d. h. dass keine Verfahrtaste betatigt 
wurde, wird wieder auf sicheren Betrlebshalt uberwacht. Zum erneuten Verfahren muss derZustimmungsschaIttaster 
182 erneut betatigt werden. 

[0122] Ein in Fig. 1 8 dargestelltes Ablaufdiagramm 344 zeigt die Uberwachung der sicher reduzierten Geschwindig- 
keit. In einem ersten Programmschrin 346, 346’ werden den MIkrocomputern 58. 60 des Safety-Cont rollers 38 die 
sicheren Lage-lstwerte ubermittelt. Nach dem Start der Mikrocomputer Im Programmschritt 348, 348’ werden im Pro- 
grammschritt350, 350’ die Lage-lstwerte kinematisch transformiert und die Ist-Geschwindigkeil des Punktes bzw. des 
Roboterflansches 304 wird errechnet. AnschlieBend wird in einem Programmschritt 352, 352' Jewells die berechnete 
Ist-Geschwindigkelt von Mikrocomputer 58 an Mikrocomputer 60 ubermittelt und umgekehrt. In Programmschritt 354, 
354' wird abgefragt, ob die in den MIkrocomputern 58, 60 jeweils berechneten Ist-Geschwindigkeiten identisch sind. 
Sind die Geschwindigkeiten nicht identisch, wird in einem Programmschritt 356, 356' eine Fehlermeldung erzeugt und 
die Antriebe werden ausgeschaltet. Anderenfalls ist mit dem Programmschritt 358, 358’ die Uberprufung der sicher 
reduzierten Geschwindigkeit abgeschlossen. 

[0123] In manchen Anwendungsfallen, wenn der Roboter 12 z. B. Lackleraufgaben ausfuhren soli, ist es notwendig, 
den Roboter im Einrichtbetrieb mit seiner betriebsmaBigen Geschwindigkeit zu fahren. Zunachst muss eine Bedien- 
person uber den im Programmierhandgerat 46 integrierten Schlusselschalter 180 die Betriebsart "AUTO-TEST’ aus- 
wahlen. In einem nachsten Schritt ist es notwendig, den dreistufigen Zustimmungstaster 182 in seine Mittelstellung zu 
bewegen. Der Roboter beginnt nun seine Bewegung, d. h., dass ein Freigabe-Signal 362 gesetzt wird. sobald der 
Start-Verfahrtaster 360 betmigt wird. Wird der Start-Verfahrtaster 360 losgelassen, wird das Freigabesignal 362 zu- 
ruckgesetzt und der Roboter wird uber eine Funktion "STOP 2" stillgesetzt. Die Funktion "STOP 2" bedeutet ein ge- 
steuertes Stillsetzen, bei dem die Energiezufuhr zu den Antriebseinheiten erhalten bleibt. 

[0124] In einem sogen. "TIPPBETRIEB" lost der Safety-Controller 38 eine Funktion "STOP 1" aus. sobald der Zu- 
stimmungstaster 182 bei betatigtem Start-Verfahrtaster 360 seine Mittelstellung verlasst. Wird zunachst der Start- 
Verfahrtaster 360 losgelassen und anschlieBend der Zustimmungstaster 182, so wird der Roboter 12 automatisch auf 
Stillstand, d. h. Funktion "STOP 2" uberwacht. 

[01 25] In einem sogen. "PULSBETRIEB", der in Fig. 20 dargestellt ist, ist bei eingeschaltetem Schlusselwahlschalter 
180, betatigtem Zustimmungstaster 182 in Mittelstellung und betatigtem Start-Verfahrtaster 360 ein einmaliges Beta- 
tigen des Verfahr-Tasters 360 notwendig, um das Freigabesignal 362 zu schalten. 

[0126] Des Weiteren kann uber den Schlusselschalter 176 eine Betriebsart "AUTOBETRIEB" ausgewahit werden. 
Diese Betriebsart kann nur bei geschlossenen Schutzturen 20, 22 ausgefuhrt werden. Bei dieser Betriebsart werden 
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keine besonderen Anforderungen an den Safety-Controller 38 gestellt. 

[0127] In Fig. 21 ist eine erfindungsgemaBe Bremsensteuerung in einem Prinzipschaltblld 364 dargestellt. Die Brem- 
sensteuerung wird uber den Safety-Controller 38 ausgefuhrt, an dem ein Service-Modul 366 uber sichere Eingange 
368, 370 angeschlossen ist. Uber sichere Ausgange 372, 374 werden in Reihe llegende Schutzkontakte 376, 380 
betatigt, die uber einen externen Steuerungstransformator 380 eine 24 V-Bremsenversorgungsspannung an die An- 
Irrebseinheilen 24 bis 30 leilen. Die Anlriebseinheilen 24 bis 30 weisen jeweils ein eleklronisches Schaltelement 382, 
384 auf, das iiber ein Und-Glied 386, 388 mil den redundanten Kreisen bzw. Kanalen 52, 54 der Antriebssleuerung 
50 verbunden ist. Ein Ausgang 390, 392 der Antriebseinheiten 24 bis 30 ist mit einer Bremseinrichtung 394, 396 der 
jeweiligen Antriebseinheiten verbunden. Achsen- bzw. Antriebseinheiten ohne Schwerkraftbelastung sind uber einen 
Notschalter 398 ebenfalls mit einer nicht mit dem Hauptschalter der Steuereinheit geschalteten externen 24 V Brem- 
senvcrsorgungsspannung 400 verbunden. Uber den Notschalter 398 konnen die angeschlossenen Bremseinrichtun- 
gen geliiftet werden, auch wenn die Energieversorgung fur die Steuereinheit uber den Hauptschalter ausgeschaltet 
ist. Der Leistungsschalter 376, 378 der Bremsenversorgungsspannung ist extern aufgebaut. Dadurch wird die Flexi- 
bilitat gegeniiber der Anzahl und Leitungsaufnahmen der angeschlossenen Motoren bzw. Bremsen erhoht. Bei nor- 
maler Betriebsart schalten die Ausgange 372, 374 parallel zu den Ausgangen zur Ansteuerung der Leitungsschutze 
K1 , K2. Sollte keine andere Betriebsart benotigt werden, konnen die Schaltelemente376, 378 Kontakte der Leistungs- 
schutze K1, K2 sein. 

[0128] Zur Untersuchung der Laufelgenschaften des Roboters, insbesondere von Getrieben Oder anderen mecha- 
nischen Elementen durch einen Service-Techniker wird derRoboter in eine Betriebsart "SERVICE MODE" geschaltet. 
Dazu muss zum Beispiel die Bremseinrichtung 394 einer zu untersuchenden Achse manuell geluftet werden. Im Ser- 
vice-Mode steht der Roboter 1 2 unter Beobachtung des Service-Tech nikers. Der Service-Mode kann auf verschiedenen 
Ebenen (Gefahrdungsklassen) aktiviert werden. Einerseits kann der Service-Mode durch Menu-Anwahl im Program- 
mierhandgerat 46 eingestellt werden und andererseits kann eine Freigabe von Energie, zum Beispiel die Leistung fur 
Bremsen, durch Betatigen des an den sicheren Eingangen 368, 370 angeschlossenen Service-Moduls 366 erfolgen. 
[0129] Fur die Betriebsart "SERVICE MODE", d. h. die Bremsen manuell zu luften, ist folgende Bedienung vorge- 
sehen: Zunachst wird im Programmierhandgerat 46 ein Bedien-Menu angewahit. Es werden einzelne Tasten definiert 
bzw. freigegeben, mit wetchen die einzelnen Haltebremsen 394, 396 geluftet werden konnen. AnschlieBend wird z. B. 
uber einen Schlusselschalter das Service-Modul 366 an den sicheren Eingangen 368, 370 des Safety-Controllers zur 
Einstellung des Service-Mode gesetzt. In dieser Konstellation schaltet der Safety-Control- ler 38 die Bremsieistung 
uber die Schaltkontakte 376, 378 frei. Dabei sind die Bremsen 394, 396 jedoch noch nicht geluftet. In einem nachsten 
Schritt kann die Antriebssleuerung 50 innerhalb der Antriebseinheiten 24 bis 30 durch Schalten des internen Brems- 
schalters 382, 394 die Bremseinrichtungen 394, 396 der zugehbrigen Achse luften. Der Roboter selbst ist in dieser 
Betriebsart ohne Leistung. Er kann nur manuell Oder durch Schwerkraft bewegt werden. Eine Riickkehr in den normalen 
Betrieb ist nur durch Rucksetzen des "SERVICE MODE" moglich. 

[0130] Zur Behebung von Produktionsstbrungen ist eine Betriebsart "Gruppensleuerung" vorgesehen. Steckt der 
och we if3 roboter 12 zum Beispiel nach einer Stromquellenstorung mit festgebranntem SchweiOdraht in einer schwer 
zuganglichen Stelle des Werkstucks fest, haben sich die Antriebseinheiten 24 bis 30 durch den Fehler abgeschaltet. 
Ein Verfahren der Roboterachsen Im Einrichtbetrieb ware bei einem ungeubten Bedlener gleichbedeutend mit einer 
erhohten Kollisionsgefahr. Es ist jedoch schneller und einfacher z. B. an Achsen ohne oder nahezu ohne Schwerkraft- 
belastung wie Kopfachsen mit einem Befehl uber das Programmierhandgerat die Bremseinrichtungen 394, 396 zu 
luften und die Achsen manuell In eine ubersichtliche Position zu bewegen. Achsen mit einer Schwerkrafibelastung von 
etwa 6 kg konnen in dieser Betriebsart geluftet werden. 

[0131] Fur diese Sonderbetriebsart ist folgende Bedienung vorgesehen: In einem ersten Schritt wird die Gruppe in 
einen sicherheitsrelevanten Bereich der Maschinendaten abgelegt. In einem zweiten Schritt wird ein Bedien-Menu im 
Programmierhandgerat angewahit, wobei eine Taste definiert bzw. freigegeben wird. mit der die Gruppe von Halte- 
bremsen im "TIPPBETRIEB" geluftet werden konnen. In einem dritten Schritt schaltet der Safety-Controller 38 die 
Bremsieitung uber die Schaltkontakte 376, 378 frei, so dass In einem vierten Schritt Haltebremsen einer Achse durch 
Schalten des internen Bremsschalters 382, 384 geluftet werden konnen. 

[0132] Auch in dieser Betriebsart ist der Roboter ohne Leistung. Die Achsen mit gelufteten Bremsen konnen nur 
manuell bewegt werden. Die gefahrdeten bzw. der Schwerkraft ausgesetzten Achsen sind nicht in die Gruppendefinition 
aufgenommen. Die nicht freigegebenen Achsen werden wahrend dieser Betriebsart auf Stillstand uberwacht. Ein un- 
beachsichtigtes Schalten zum Beispiel durch einen Defekt des einkanallgen Bremsschalters 382, 384 einer Antriebs- 
einheit 24 - 30, der auch als Sevo-Verstarker bezeichnet werden kann, wurde auch die Bremse einer schwerkraftbe- 
lasteten Achse luften und die Achse konnte sich bewegen. In diesem Fall schaltet der Safety-Controller 38 die Brem- 
senleistung ab. Eine Ruckkehr In den Normalbetrieb geschieht durch Anwahl der gewiinschten Betriebsart "VERFAH- 
REN" durch das Programmierhandgerat. Fur eine gesteuerte Roboterbewegung mussen die Antriebe eingeschaltet 
werden. 

[0133] Auch besteht die Moglichkeit, iiber die externe Spannungsversorgung 400 und den Notschalter 398 eine 
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Gruppe von Bremselnrichtungen extern zu liitten. Das externe Luften von Bremseinrichtungen ist nur fur Notfalle vor- 
gesehen. In diesem Fall kanndie Robotersteuerung 36 bzw. der Safety-Controller 38 ausgeschaltet sein, wobeijedoch 
eine externe Hilfsenergie zur Verfugung steht. Durch Betatigen eines leicht zuganglichen Tasters 398 (im Tippbetrieb) 
werden an alien nicht schwerkraftbelasteten Achsen die Bremseinrichtungen 394 geluftet. In diesem Zustand kann die 
Robotermechanik manuell bewegt werden, zum Beispiel zum Befreien einer eingeklemmten Person. Die Auswahl der 
zulassigen Achsen geschiehl durch die interne Schallschrankverdrahtung, wobei nur die Bremsen an die externe Hilf- 
senergie 400 angeschlossen werden. 

[0134] Auch besteht erfindungsgemaB die Moglichkeit, die Bremswirkung der Bremseinrichtungen 394, 396 zu uber- 
prufen. Diese Bremsenpriifung wird bei jedem Einschalten der Antriebe durchgefiihrt. Zunachst wird ein Hauptschalter 
eingeschaftet und die Robotersteuerung 36 sowie der Safety-Controller 38 werden hochgefahren. AnschlieOend wer- 
den die Antriebe eingeschaltet und die Bremseinrichtungen 394, 396 geluftet. SchlieBlich wird ein Haltestrom l^.^ der 
Achsen gemessen, wobei die Roboterachsen unterschiedlich belastet und beliebig Im Raum stehen konnen. Des Wei- 
teren werden die Bremseinrichtungen 394, 396 durch Schaltung der internen Bremsschalter 382, 384 betatigt und ein 
achsspezifischer Stromwert ± •offset wird an die Endstufe abgegeben, mit l^ppg^y = x • Inenn und x im 

Bereich von 0,6 < x < 1 ,0 vorzugsweise 0,8 und l^g^NN dem Stromwert, der dem Nennmoment M,sjenn ^ier Brems- 
einrichtung entspricht. Als Weiteres werden alle Achsen auf Stillstand uberpruft. Bei Bedarf kann der Safety-Controller 
38 auf sicheren Betriebshalt priifen. Dann wird der Offset-Zuschlag vom Stromsollwert zuruckgenommen, die Halte- 
bremsen geluftet und in den Normalbetrieb ubergegangen. 

[0135] Die Nennmomente M^enn cler Bremseinrichtungen variieren mit der BaugroBe des Motors, so dass diese 
Information fiir die Berechnung des Strom-Offsetwertes insbesondere des Wertes den Maschinendaten ab- 

gelegt sein sollen. 

[0136] Die Elektronik der Antriebssteuerung 50, die auch als Sen/o-Verstarker bezeichnet werden kann, wird in Ab- 
hangigkelt des Betriebszustandes von verschiedenen Spannungsquellen versorgt. Zunachst weist jede Antriebssteue- 
rung 50 ein Schaltnetzteil auf, mit dem im Betriebszustand Hauptschalter "EIN" und eingeschalteten Antheben die 
komplette Elektronik der Motorsteuerung 50 mit Leitungsteilen und aktiver PWM versorgt wird. Ein direkt am Netz 
liegendes externes Schaltnetzteil versorgt die komplette Elektronik der Motorsteuerung ohne Leistungstell Im Betriebs- 
zustand "EIN", aber bei ausgeschalteten Antheben. Ferner wird durch das externe Schaltnetzteil nur die Resolver- 
Auswerte-Elektronik versorgt, wenn der Hauptschalter ausgeschaltet ist. Bei Netzausfall wird ebenfalls nur die Resol- 
ver-Auswerteloglk iiber einen Akku und ein externes Schaltnetzteil versorgt. 

[0137] Ein Netzausfall kann in verschiedenen Betriebszustanden auftreten. Dabei geht das System kontinuieriich in 
den Betriebszustand mil geringster Energle uber. In einem Ablaufdiagramm 402 gemaB Fig. 22 ist eine Not-Stop- 
Routine dargestellt. In einem ersten Programmschritt 404 wird ausgewertet, ob ein Netzausfall durch das Signal AC- 
FAIL Oder ein Ausschalten der Robotersteuerung 36 bzw. des Safety-Controllers erkannt wurde. Wurde der Netzausfall 
Oder ein Ausschalten der Robotersteuerung erkannt, startet gemaB Programmschrin 406, 406’ eine Not-Stop-Routine 
sowohl im Kreis 52 als auch im Kreis 554 mit den Mikrocomputern 102, 120. Im Krels 52 konnen nicht mehr benoligte 
Module wie CAN-Interface 56, LED-Anzeigen und andere Module abgeschaltet werden, da die Robotersteuerung 36 
und der Safety-Control-1 er 38 in Kurze nicht mehr versorgt werden. Ein Netzausfall wird mit dem Signal ACFAIL des 
externen Schaltnetzteils der Motorsteuerung erkannt und ein Ausschalten der Steuerung durch Ausbieiben der Soll- 
werte auf den Bus CAN_A. In einem weiteren Programmschritt 41 0, 41 O' wird uberpruft, ob sich die Achse im Stillstand 
befindet. Befindet sich die Achse nicht im Stillstand, wird in einem Programmschritt 412, 412' die Achse zuerst auf 
Stillstand geregelt. Dazu wird die generatorische Energie der Motoren wahrend des Verzogerns verbraucht. Es werden 
die Standardkanale der Lageregelung verwendet. Die programmierte Bahn wird verlassen, da die Robotersteuerung 
nicht mehr arbeitet. Das Stillsitzen der Achse kann in Abhangigkeit der Roboterkinematik 1 bis 1 ,5 s andauern. 

[0138] Die weiteren Programmschritte nach Erreichen des Stillstandes werden in den Kreisen 50, 52 redundant 
durchgefuhrt. In einem nachsten Programmschritt 414, 114‘ wird in beiden Kreisen die Haltebremse akiiviert und In 
Programmschritt 416, 416' nach einer Wartezeit uberpruft, ob die Bremsen eingefallen sind. Dies geschieht durch 
einen Vergleich im Programmschritt 41 8, 418' mehrerer Lage-lstwerte, die sich nicht mehrandern durfen. AnschlieBend 
wird der Lage-lstwert in einem Programmschritt 420, 420', bestehend aus mitgezahlten Umdrehungen und dem Re- 
solverwert in ein jeweiliges Systemflag 111, 123 abgelegt. Nach erfolgreichem Schreiben des Lage- 1st wertes In das 
Flag 111 , 1 23 werden die Achsen als synchron markiert. Das heiBt, ein Synchron- Flag wird gesetzt. Mit Programmschritt 
422, 422' endet die Not-Stop-Routine. Im Normalfall ist bis zu diesem Zeitpunkt das Schaltnetzteil des Leistungsteils 
aktiv, da Kondensatoren des Zwischenkreises bis zum Stillstand geladen werden. Nach Entladen des Zwischenkrelses 
ubernimmt das externe Schaltnetzteil mit Akku-Pufferung die Energieversorgung, indem Programmschritt 424, 424* 
ausgelost wird. 

[0139] Das Verhalten der Antriebssteuerung 50 im Akku-Betrieb Ist einem Ablaufdiagramm 426 gemaB Fig. 23 zu 
entnehmen. Bei Netzausfall erfoigt die Spannungsversorgung uber einen Akku, wobei nur die Resolver-Auswerteelek- 
tronik versorgt wird. Dazu werden zur Verlangerung der Pufferzeit nicht mehr benotigte Verbraucher wie SRAM 106 
des Mikrocomputers 102, Mikrocomputer 122 und der Teller 118, DP RAM 130, DP RAM 116 abgeschaltet. 
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[ 0140 ] Die verbleibende aktive Hardware ist in Fig. 24 dargestellt. Im Programmschritt 428, 42B' wird in den Kreisen 
52, 54 der Motorsteuerung die "Power down-Routine" gestartel. Bei Programmschritt 430, 430' werden alle nicht be- 
ndtigten Vertoraucher wie zuvor erwahnt abgeschaltet. Die redundanten Mikrocomputer 102 und 120 arbeiten nur noch 
im System Flash 111, 123 und im internen SRAM 106, 122. Die Referenzspannung wird zur Verbrauchsminimierung 
nur im Messintervall aktiviert. 

[ 0141 ] Im Programmschritt 432 wird in Kreis 52, d. h. im Mikrocomputer 102 ein Zeitablauf zur zykiischen Resolver- 
Auswerlung vorgegeben. In Programmschritt 434 wird die Timer-Zeil abgefragt. Alle 200 ms wird in Programmschritt 
436 ein Signal "Start-Resolver" erzeugt, uber das ein Resolverauswertezyklus in Kreis 54 angefordert wird. Durch 
Programmschritt 438 im Kreis 54 wird die zykiische Anforderung von Kreis 52 iiberwacht. Detektiert der Programm- 
schritt 438 innerhalb von 200 ms kein Signal "Start- Resolver", wird ein Ausfall von Kreis 52 erkannt und eine Fehler- 
meldung in Programmschritt 440 erzeugt. Die Achse wird von Kreis 54 asynchron marklert, d. h., das Synchronflag 
wird zuruckgesetzt und auf die Kommunikation mit dem Safety-Controller 38 gewartet. 

[ 0142 ] Bei korrekterzyklischer Anforderung starlet Kreis 54 seinen Referenzfrequenz-Generatorim Programmschritt 
442 und setzt sein Signal SOC (start of conversion) ftir die Analog-Digitalwandler in den Kreisen 52, 54. In Programm- 
schritt 444 wartet Kreis 52 auf das Signal SOC. Nach erfolgreicher Konvertierung muss das Signal SOC in Programm- 
schritt 446 im Kreis 52 erkannt werden, der die Funktion des Kreises 54 mit identischer Fehlerreaktion iiberwacht. In 
Programmschritt 448 startet in Kreis 54 eine Analog-Digitalkonvertierung der Sin-/Cos-Signale. AnschlieBend erfoigt 
eine Berechnung der Lage-tstwerte in Programmschritt 450, 450'. Der Lage-lstwert wird in Programmschritt 452, 452' 
mit dem Lage-lstwert des letzten Zykius verglichen. Beide Lage-lstwerte miissen gleich sein, d. h. die Achse darf sich 
nicht bewegen. Sind die Lage-lstwerte nicht identisch. wird in Programmschritt 454 eine Fehlermeldung erzeugt. Wenn 
in einem Kreis 52, 54 ein Fehler erkannt wird, wird die zykiische Bearbeitung eingestellt. Dadurch wird der redundante 
Partner ebenfalls in den Fehlerzustand gezwungen. Wird kein Fehler erkannt, legen beide Mikrocomputer 102, 120 in 
einem Programmschritt 456, 456' den ermittelten Lage-lstwert im jeweiligen prozessorinternen SRAM 106, 122 ab. 
Sollte bis zu diesem Zeitpunkt kein Fehler aufgetreten sein, wird die Achse als synchron markiert, indem im Programm- 
schritt 458, 458' ein Sync-flag gesetzt wird. AnschlieBend wird in Programmschritt 460, 460' gepruft, ob das System 
noch im Powerdown-Modus verbleiben muss. Wenn ja, wird mit Programmschritt 434 bzw. 438 fortgefahren. Wenn 
nein, wird in den Standard-Mode gemaB Programmschritt 462, 462' ubergegangen. 

[ 0143 ] Sobald die Netzspannung wiederkehrt, wird im Faile einer aktiven Akku-Pufferung kein Hardware -Reset 
durchlaufen. Die in beide Kreisen 52, 54 im prozessorintern SRAM 106, 122 abgelegten Lage-lstwerte und Status- 
Informationen werden nach Aussprung in Standard-Mode gemaB Programmschritt 462, 462' von beiden Kreisen an 
den Safety-Controller 38 ubertragen. Ist auf beiden Seiten kein Fehler aufgetreten und sind beide Lage-lstwerte iden- 
tisch, wird die Achse mit Absolutwert von dem Safety-Controller synchron gesetzt und in den Automatik-Betrieb frei- 
gegeben. Ist keine Akku-Pufferung aktiv Oder bricht die Putfer-Spannung zusammen, z. B. wenn der Akku entladen 
1st, wird nach dem Wiederanlauf auf die im Flash abgelegten Lage-lstwerte zuruckgegriffen und gegenseitig verglichen. 
Die Achse wird erst nach erfolgreichem Anfahren der Synchronposition von dem Safety-Controller mit Absolulwerten 
synchron gesetzt. 

[ 0144 ] In Fig. 24 ist ein Prinzipschaltbild 464 dargestellt. das die im Power-down-Mode aktive Hardware zeigt. Im 
Power-down-Mode ist nur die Resolver-Auswerteelektronik aktiv. Diese besteht aus dem Resolver, den Analog-Digi- 
talwandlern 114, 136, dem Referenzwertgeber 138 und dem Mikrocomputer 102, 122 mit zugeordnetem Flash 111, 
123. Bei ausgeschaltetem Hauptschalter liegt ein externes Schaltnetzteil 466 direkt an Netzspannung, ohne dass es 
uber den Hauptschalter der Robotersteuerung schaltbar ist. Das Schaltnetzteil 466 ist mit einem Akku 468 verbunden, 
der bei Netzausfall die Resolver-Auswerteelektronik mit Spannung versorgt. Das Schaltnetzteil 466 wird liber eine 
Integrierte ACFAIL-Uberwachung 470 iiberwacht. Bei Spannungsausfall wird ein Signal IR-ACFAIL erzeugt, das dem 
Mikrocomputer 1 02 und dem Steuerwerk 138 zugefuhrt wird. Der weitere Ablauf ist dem Ablaufdiaramm gemaB Fig. 
22 zu entnehmen. 

[ 0145 ] Bei Spannungsabfall wird in jedem Kreis 52, 54 durch ein separates Supervisor-lC (nicht dargestellt) ein 
Hardware-Reset ausgelost. Danach werden beide Kreise 52, 54 neu gebootet und initialisiert, wodurch die gespei- 
cherten Statusinformationen im internen SRAM 106, 122 geldscht werden. Die in dem jeweiligen Systemflash 111, 123 
abgelegten Lage-lstwerte und das Synchron-Flag werden iiber den jeweiligen CAN_B-Bus an den Safety-Controller 
38 ubertragen. In dem Safety-Controller 38 wird entschieden, ob die Lage-lstwerte von beiden Kreisen 52, 54 gleich 
sind und ob das Synchron-Flag In beiden Kreisen gesetzt ist. Daraufhin werden die Achsen von der Robotersteuerung 
36 auf die Synchronposition gefahren, anschlleBend setzt der Safety-Controller 38 eine Freigabe fur den Automatik- 
betfieb, wenn der Sync Pos-Eingang bei korrekten Achs-lstwerten bekannt wurde. 

[ 0146 ] Sind die Lage-lstwerte der beiden Kreise 52, 54 unterschiedlich Oder ist das Synchron-Flag nicht gesetzt, 
sind die Achsen asynchron und mussen von einer Bedienperson synchronisiert werden. Dazu werden die Achsen 
ebenfalls von der Robotersteuerung auf die Synchronposition gefahren, anschlleBend setzt der Safety-Controller 38 
die Freigabe fur den Automatikbetrieb, wenn der Sync Pos-Eingang bei korrekten Achs-lstwerten bekannt wurde. 
[ 0147 ] Bei Akku-Pufferung wird bei Wiederkehr des Netzes kein Hardware- Reset durchgefuhrt. Die abgelegten Sta- 
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tus-Informationen (synchron/ asynchron) und der Lage-lstwert in den jeweiligen internen SRAM's 106, 122 werden 
von beiden Kreisen an den Safety-Controller 38 ubertragen. Im Safety-Controller wird verglichen, ob die Lage-lstwerte 
von beiden Kreisen 52, 54 gleich und eln Synchron-Flag in beiden Kreisen gesetzt wurde. 1st dies der Fall, setzt der 
Safety-Controller 38 eine Freigabe fur Automatikbetrieb, wobei die Synchronposition nicht angefahren werden muss. 
Sind die Lage-lstwerte von beiden Kreisen unterschiedllch Oder wurde der Synchron-Flag nicht gesetzt, sind die Achsen 
asynchron und mussen von einer Bedienperson synchronisierl werden. Dazu werden die Achsen von der Roboler- 
steuerung 36 auf die Synchron-Position gefahren. AnschlleBend seUt der Safety-Controller 38 seine Freigabe fur den 
Automatik-Betrieb, wenn der Sync Pos - Eingang bei korrekten Achs-lstwerten erkannt wurde. 



Patentanspruche 

1. Verfahren zum sicherheitsgerichteten Uberwachen zumindest einer Achse einer Antriebseinheit, insbesondere 
zur Ubenwachung einer zumindest eine portable und/oder mobile und/oder immobile Einrlchtung umfassenden 
technischen Anlage (10) mit erhohten Sicherheitsanforderungen, insbesondere eines in einer Schutzeinrichtung 
angeordneten Handhabungsgerates. umfassend zumindest eine vorzugsweise zentrale und/oder dezentrale Steu- 
ereinheit (36) sowie mit dieser verbundene Aktoren (24 - 30; K1, K2) zur Ausfuhrung von gefahrbringenden Ak- 
tionen, 

dadurch gekennzeichnet, 

dass ein Lage-lstwertsignal der zumindest einen Achse einkanalig erfasst und zweikanalig ausgewertet wird. 

2. Verfahren nach Anspruch 1 , 

dadurch gekennzeichnet, 

dass das Lage-lstwertsignal aus zwei zueinander phasenverschobenen periodischen Signalen gebildet wird, 
dass die Summe von Potenzen von Amplituden der Signale gebildet und mit einem in einem Wertebereich 
liegenden Wert verglichen wird und 

dass ein Fehlersignal erzeugt wird, wenn die Summe nicht innerhalb des vorgegebenen Wertebereichs liegt. 

3. Verfahren nach Anspruch 1 Oder 2, 

dadurch gekennzeichnet, 

dass das Lage-lstwertsignal aus den zwel zueinander phasenverschobenen periodischen Signalen gebildet wird, 
dass in jedem Kanal die Summe der Amplitudenquadrate gebildet und mit einem konstanten Oder einem in dem 
Wertebereich liegenden Wert verglichen wird, dass eln Fehlersignal erzeugt wird, wenn die Summe nicht dem 
vorgegebenen Wert entsprichl bzw. nicht innerhalb des Wertebereichs 1st, und dass das Lage-lstwertsignal dem 
weiteren zweikanaligen Oberwachungs- und Steuergerat (38) zugefCihrt wird, das die In jedem Kanal gebildeten 
Summen der Amplitudenquadrate mitelnander und /oder mit dem konstanten Wert bzw. in dem Wertebereich lie- 
genden Wert vergleicht. 

4. Verfahren nach zumindest einem der Anspruche 1 bis 3, 

dadurch gekennzeichnet, 

dass eine Ptausibilitatsprufung der Lage-lstwert-Signale durchgefuhrt wird, wobei gepruft wird, ob die Summe der 
Quadrate der Ausgangsamplituden einem vorgegebenen Wert x entspricht, mit x im Bereich von 0,9 < x < 1,1 
vorzugsweise x = 1 = (sin <p)2 4- (cos <p)2. 

5. Verfahren nach zumindest einem der vorhergehenden Anspruche, 

dadurch gekennzeichnet, 

dass eln richtungsabhangiges Signal eines Drehzahl- bzw. Lage-Sollwertes erzeugt und mit einem richtungsab- 
hangigen Signal des Drehzahl- bzw. Lage-lstwertes vorzugsweise zweikanalig verglichen wird und dass die vor- 
zugsweise zweikanalig erzeugten Werte dem Oberwachungs- und Steuergerat (38) zugefuhrt und dort mitelnander 
verglichen werden. 

6. Verfahren nach zumindest einem der vorhergehenden Anspruche, 

dadurch gekennzeichnet, 

dass zwischen den Kanalen (52, 54), vorzugsweise zwischen den MIkrocomputern eln interner Kreuzvergleich 
der erfassten Istwerte durchgefuhrt wird und dass im Fehlerfall eine Impulssperre erzeugt wird. 

7 . Verfahren nach zumindest einem der vorhergehenden Anspruche, 
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dadurch gekennzeichnet, 

dass bei fehlender ublicher Energieversorgung der Antriebseinheiten (24 - 30) (Power-Down-Modus) elne Still- 
standsuberwachung durchgefuhrt wird, wobei in jedem Kanal (52, 54) die Istwert-Signale uberwacht warden und 
bei Veranderung der Istwert-Signale uber eine eingestellte Toleranzgrenze hinaus ein "Marker" gesetzt wird, der 
s nach WIedereinschallen der ubiichen Energieversorgung in das Uberwachungs- und Steuergerat (38) ubertragen 

und mil abgespeicherten Sollwerlen verglichen wird. 

8. Anordnung zum sicherheitsgerichteten Uberwachen einervon einer Antriebseinheit(24 - 30) angetriebenen Achse 
(1 48) einer technischen Aniage (10), umfassend einen mit der Achse gekoppellen Lage-fstwertgeber (48), der mit 
einer zweikanallgen Antriebssteuerung (50) zur Auswertung verbunden ist, zur Durchfuhrung des Verfahrens nach 
Anspruch 1 , 

dadurch gekennzeichnet, 

dass der Lage-lstwertgeber (48) einkanalig ausgefuhrt ist und zumindest zwei Ausgange (144, 146) aufweist, an 
denen bei Drehung der Achse (148) zwei zueinander phasenverschobene periodische Signale abgreifbar sind, 
15 dass die Ausgange (144, 146) mit jeweils einem Kanal (52, 54) der Antriebssteuerung (50) verbunden sind und 

dass die einzelnen Kanale (52, 54) der Antriebssteuerung (50) einerseits mit einer ubergeordneten zentralen Oder 
dezentralen Steuereinheit (36) und andererseits mit einem zweikanaligen Uberwachungs- und Steuergerat (38) 
zum Vergleich der empfangenen Istwert-Signale verbunden sind. 

20 9 . Anordnung nach Anspruch 8, 

dadurch gekennzeichnet, 

dass die mit dem Lage-lstwertgeber (48) verbundene zweikanalige Antriebssteuerung (50) als integraler Bestand- 
teil des Ubenwachungs- und Steuergerates (38) Oder als eigenstandige Einheit unabhangig von der Antriebseinhelt 
(24 - 30) diesem vorgelagert ist. 

25 

10. Anordnung nach Anspruch 8 Oder 9, 

dadurch gekennzeichnet, 

dass der Istwert-Geber (48) als Resolver mit zwei analogen Ausgangen fur die Istwert-Signale und einem Eingang 
(142) fur ein Referenzsignal ausgebildet ist, dass die Ausgange (144, 146) jeweils uber einen A/D-Wandler (114, 
136) mit dem Kanal (52, 54) der Antriebssteuerung (50) verbunden sind und dass der Eingang (142) fur das Re- 
ferenzsignal mit einem Referenzgenerator (140) verbunden ist. 

11. Anordnung nach zumindest einem der Anspriiche 8 bis 10, 

dadurch gekennzeichnet, 

35 dass der Referenzgenerator (140) von einer Kontrolleinheit (138) gesteuert wird, wobei die Kontrolleinheil (138) 

einen impulserzeuger, eine Zahlstufe und einen Zustandsgenerator aufweist, woboi die Zahlstufe Impulse fur den 
als D/A-Wandler ausgebildeten Referenzgenerator (1 40) abgibt und der Zustandsgenerator uber eine Leitung zur 
Ubertragung eines Startsignals (SOC) mit den A/D-Wandlern (114, 136) verbunden ist. 

^0 12. Anordnung nach zumindest einem der Anspruche 8 bis 11 , 

dadurch gekennzeichnet, 

dass die analogen Ausgange (144, 146) des Resolvers uberTreiberbausteine mit den Eingangen der A/D-Wandler 
(114, 136) verbunden sind und wobei die Treiberbausteine in verschiedenen Gehausen angeordnet sind. 

45 13 . Anordnung nach zumindest einem der Anspruche 8 bis 12, 

dadurch gekennzeichnet, 

dass die Kanale (52, 54) redundant und/oder diversitar aufgebaut sind. 

14. Anordnung nach zumindest einem der Anspruche 8 bis 13, 

50 dadurch gekennzeichnet, 

dass der erste Kanal (52) einen Mikrocontroller (1 02) mit integriertem Buskoppler (56) und einen Transceiver (1 04) 
aufweist, dass der zwelte Kanal einen ersten Signalprozessor (120), einen separaten Speicherbaustein (126), 
einen zweiten Signalprozessor als Lageregler (128) sowie einen separaten Transceiver (134) und Buskoppler (58) 
mit Ansteuerung (132) aufweist, wobei der Mikrocontroller (102) und der als Lageregler ausgebildete Signalpro- 
55 zessor (128) auf einen gemeinsamen Speicher (130) zugreifen. 

15. Anordnung nach zumindest einem der Anspruche 8 bis 14, 
dadurch gekennzeichnet. 
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dass der A/D-Wandler (136) des zwejten Kanals (54) uber einen ersten Anschluss mit elnem Interrupt-Eingang 
des ersten Signalprozessors (120) verbunden ist und dass der A/D-Wandler (114) des ersten Kanals (52) uber 
einen zweiten Anschluss mit einem Eingang eines Teilerbausteins (118) verbunden ist, dessen Ausgang mit einer 
Interrupt-Steuereinheit des M Ik recent rollers (102) verbunden Ist. 

16. Anordnung nach zumlndesl elnem der Anspruche 8 bis 15, 

dadurch gekennzeichnet, 

dass die Zeit zwischen zwei empfangenen Interrupt-Signalen (EOC) gemessen wird und dass ein Signal zur Uber- 
fiihrung der Anlage (10) in den sicheren Zustand ausgelost wird, wenn innerhalb einer Zeitspanne ein Interrupt- 
Signal (EOC) nicht detektiert wird. 

17. Anordnung nach zumindest einem der Anspruche 8 bis 16, 

dadurch gekennzeichnet, 

dass bei Abweichung der Referenzfrequenz von elnem Frequenznormal oder bel einem Ausbieiben der Referenz- 
frequenz eine Impulssperre generiert wird. 

18. Anordnung nach zumindest einem der Anspruche 8 bis 17, 

dadurch gekennzeichnet, 

dass das Signal (EOC) in dem zweiten Kanal (54) eine Zahlerstufe ansteuert, wobei die Zahlerstufe dekrementiert 
wird und eine Impulssperre aktiviert, wenn das Signal (EOC) ausfallt. 

19. Vorrichtung nach zumindest einem der Anspruche 8 bis 18, 

dadurch gekennzeichnet, 

dass die Kanale (52, 54) jeweils einen integrierten Lage- und/oder Drehzahlregler aufweisen, wobei das Vorzei- 
chen eines Drehzahl- bzw. Lage-Sollwertes standig mit dem Vorzeichen eines Drehzahl- bzw. Lage-lstwertes ver- 
glichen wird und bei Abweichung der Vorzeichen uber einen langeren Zeitraum ein Signal erzeugt wird, durch das 
die Anlage (10) in einen sicheren Zustand uberfuhrt wird. 

20. Verfahren zur Steuerung und Oberwachung einer Bremseinrichtung (394, 396) mit einem Nennmoment (M^^^,^), 
die einer Antriebseinheit (24, 26) einer technischen Anlage (10) wie Handhabungsgerat zugeordnet ist, nach zu- 
mindest einem der vorhergehenden Anspruche, 

dadurch gekennzeichnet, 

dass ein einem Haltemoment entsprechender Haltestrom (l^) der Antriebseinheit (24, 26) bel geoffneter Brems- 
einrichtung (394, 396) gemessen und gespeichert wird, dass die Antriebseinheit (24. 26) bei geschiossener Brems- 
einrichtung (394, 396) mil einem achsspezifischen Stromwert (Ijest) beaufschlagt wird, der die Bremseinrichtung 
mit einem Moment belastet, das gleich oder kleiner als das Nennmoment Bremseinrichtung (394, 

396) ist, und dass der Antrieb (24, 26) gleichzeitig auf Stiiistand uberwacht wird, 

21. Verfahren nach Anspruch 20, 

dadurch gekennzeichnet, 

dass sich der Stromwert (I-test) dem gemessenen Haltestrom (1^) und elnem Offset-Strom (Ioffset) ergibt 
gemaB 



*TEST - 'h - •offset 



wobei Ioffset = ^ 

mit 0,6 < X < 1 ,0, vorzugsweise x = 0,8, und 

Ifg ein Strom ist, der dem Nennmoment entspricht. 

22. Verfahren nach Anspruch 20 Oder 21 , 

dadurch gekennzeichnet, 

dass der Stromsollwert (Ijest) cler Antriebseinheit (24, 26) ein Moment erzeugt, das 60 bis 1 00 % des Nenn- 
momentes (Mfyigivjfg), vorzugsweise 80 % des Nennmomentes betragt. 

23. Verfahren nach zumindest einem der vorhergehenden Anspruche, 

dadurch gekennzeichnet, 

dass die Bremseinrichtung (394, 396) einer nicht schwerkraftbelasteten Achse uber einen externen Schaltkontakt 
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(398) losbar ist und uber eine Hilfsenergie (400) betrieben wird. 

24. Verfahren nach zumindest einem der vorhergehenden Anspruche, 

dadurch gekennzeichnet, 

dass bet einer individuellen Losung der Bremseinrichtungen (394, 396) einer Gruppe von nicht Oder im wesentli- 
chen nichl durch Schwerkraft betaslelen Achsen wie Kopfachsen, verbleibende durch Schwerkrafl belaslele Ach- 
sen auf Slillsland uberwacht werden. 

25. Verfahren nach zumindest einem der vorhergehenden Anspruche, 

dadurch gekennzeichnet, 

dass eine Spannungsversorgung (380) fur die Bremseinrichtungen (394, 396) uberein externes Steuer- und Ober- 
wachungsgerat (38) zugeschaltet wird und dass eine mit der Bremseinrichtung (394, 396) gekoppelte Antriebs- 
steuerung (24, 26) ein Signal erzeugt, mit dem die Bremseinrichtung einer Achse geoffnet bzw. geluftet wird. 

26. Verfahren zur Oberwachung der Geschwindigkeit eines im Raum bewegbaren geratespezifischen Punktes (304) 
einer technischen Aniage (12), insbesondere eines Handhabungsgerates, nach zumindest einem der vorherge- 
henden Anspruche, 

dadurch gekennzeichnet, 

dass Lage-lstwert-Signale von Antriebseinheiten (24 - 30) erfasst werden, dass aus den Lage-lstwert-Signalen 
durch eine Transformationsoperation kartesische Koordinaten des Punktes (304) berechnet werden und dass die 
berechneten kartesischen Koordinaten mit abgespeicherten Werten und/oder Werteberelchen verglichen werden, 
urn ein Signal zum Stifisetzen der Aniage (12) zu erzeugen, wenn die transformlerten kartesischen Koordinaten 
den Wert und/oder Wertebereich uberschreiten. 

27. Verfahren nach Anspruch 26, 

dadurch gekennzeichnet, 

dass ein Differenzvektor durch Subtraktion eines ersten kartesischen Koordinatensatzes in einem ersten Abtast- 
zeitpunkt von einem zweiten kartesischen Koordinatensatz in einem zweiten Abtastzeitpunkt errechnet wird, dass 
eine kartesische Geschwindigkeit des Punktes (304) uber eine Zeitdifferenz zwischen dem ersten und zweiten 
Abtastzeitpunkt ermittelt wird und dass ein Signal (STOP -0) zum ungesteuerten Stillsetzen der Antriebseinheiten 
dann erzeugt wird, wenn die errechnete Geschwindigkeit eine vorgegebene maximale Geschwindigkeit ubersteigt. 

28. Verfahren nach Anspruch 27, 

dadurch gekennzeichnet, 

dass eine Oberwachung der Geschwindigkeit zykiisch erfofgt. 

29. Verfahren nach Anspruch 27, 

dadurch gekennzeichnet, 

dass die maximale Geschwindigkeit V^nax = 250 mm/s betragt. 

30. Verfahren nach zumindest einem der vorhergehenden Anspruche, 

dadurch gekennzeichnet, 

dass nach Auslosung eines Signals zum Stillsetzen der Einrichtung eine Anfangsgeschwindigkeit (V^njang) des 
Punktes (304) ermittelt und gespeichert wird, dass nach einer Zeitspanne (AT) die aktuelle Geschwindigkeit V^^t 
ermittelt und mit der Anfangsgeschwindigkeit (V^^fang) verglichen wird und dass dann, wenn die aktuelle Geschwin- 
digkeit (Vg,^) nach der Zeitspanne (AT) gleich Oder groBer der Anfangsgeschwindigkeit ist, ein Signal zum unge- 
steuerten Stillsetzen der Einrichtung erzeugt wird. 

31 . Uberwachungs- und Steuergerat (38) zur Oberwachung einer zumindest eine portable und/oder mobile und/oder 
Immobile Einrichtung umfassenden technischen Aniage (10) mit erhohten Sicherheitsanforderungen, insbeson- 
dere eines in einer Schutzeinrichtung angeordneten Handhabungsgerates, mit zumindest einer vorzugsweise zen- 
tralen und/oder dezentralen Steuereinheit (36) sowie mit dieser verbundenen Aktoren (24 - 30; K1 , K2) zur Aus- 
fuhrung von gefahrbrlngenden Aktionen, wobel das Oberwachungsund Steuergerat (38) mit Sensoren (20, 22) 
und/oder Aktoren (24 - 30) verbunden ist und deren Zustande auswertet, verarbeitet und steuert, unter Verwendung 
von Merkmalen von zumindest einem der vorhergehenden Anspruche, 

dadurch gekennzeichnet, 

dass die Steuereinheit (36) uber zumindest eine Datenverbindung mit dem zumindest einen Aktor (24 - 30) und/ 
Oder Sensor (20, 22) und dem Oberwachungs- und Steuergerat (38) verbunden ist, dass das Uberwachungs- und 
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Steuergerm (38) in Abhangigkelt der Zustande der Sensoren (20. 22) und/oder Aktoren (24 - 30) zumindest ein 
Freigabesignal an die Steuereinheit zur Ermdglichung zumindest einer Aktion in dertechnischen Aniage (1 0) iiber- 
tragt, dass das Freigabesignal eine Aktion ausibst, die durch das Steuer- und Oberwachungsger^ (38) durch 
Verglelch mit gespeicherten und/oder vorgegebenen Ausfuhrungs- und/oder Funktions- und/oder Plausibilitats- 
vorgaben bzw. Bewegungsablaufen uberwacht wird, und dass im Fehlerfall zumindest ein weiteres Signal erzeugt 
wird. durch das die Aniage in einen sicheren Zustand uberfuhrl wIrd. 

32. Uberwachungs- und Steuergerat nach Anspruch 31, 

dadurch gekennzeichnet, 

dass der Aktor(24 - 30; K1, K2) und/oder der Sensor (20, 22) als eine die technische Aniage (10) in den sicheren 
Zustand uberfuhrende Sicherheitseinrichtung (14) ausgebildet ist. 

33. Oberwachungs- und Steuergerat nach Anspruch 31 oder 32, 

dadurch gekennzeichnet, 

dass der Aktor (24 - 30) insbesondere eine Antriebseinheit (24 - 30) mit zugehorlger Antriebssteuerung (50), ein 
Leistungsschutz (K1 , K2), ein Relais oder ein Ventil um fasst. 

34. Uberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 
dadurch gekennzeichne t, 

dass die Aktion ein Bewegungsablauf ist. 

35. Ubenwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 

dadurch gekennzeichnet, 

dass die Datenverbindung eine serielle Busleitung (CAN_ A) ist. 

36. Uberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 

dadurch gekennzeichnet, 

dass die Steuereinheit (36) und das Uberwachungs- und Steuergerat (38) physisch separate Einrichtungen sind. 

37. Uberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 

dadurch gekennzeichnet, 

dass von der Steuereinheit (36) fortlaufend Oder einmalig ein Lage-Sollwert-Signal an die zumindest eine ange- 
schlossene Antriebssteuerung (50) und/oder an das Uberwachungs- und Steuergerat und von der zumindest einen 
Antriebssteuerung (50) Lage-lstwert-Signale zumindest an die Steuereinheit (36). vorzugsweise sowohl an die 
Steuereinheit (36) als auch an das Uberwachungs- und Steuerger^ (38) ubertragen werden. dass die Lage-lstwert- 
Signale jeder Antriebssteuerung (50) mit in dem Uberwachungsund Steuergerat (38) abgespeicherten und vor- 
zugsweise von der Steuereinheit (36) ubertragenen antriebsspezifischen Werten und/oder Wertebereichen ver- 
glichen werden und dass bei Verlassen des jeweiligen Wertes und/oder Wertebereiches das weitere Signal erzeugt 
wird. 

38. Uberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 
dadurch geke nnzeichne t, 

dass das Oberwachungs- und Steuergerat (38) zur Auswerlung elektromechanischer Sicherheltsschalter (366) 
und zur Ansteuerung externer Schaitgerate (376, 378) eine zweikanalige Ausgangs- und Eingangsebene (66) mit 
kreuzweisem Datenvergleich aufweist und/oder dass zumindest ein weiterer Busanschfuss (72) vorgesehen ist, 
um das Uberwachungs- und Steuergerat (38) in einen ubergeordneten Sicherheitsbus zu integrieren. 

39. Uberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 

dadurch gekennzeichnet, 

dass das Uberwachungs- und Steuerger^ (38) zwei Kanale mit jeweils zumindest einem Mikrocontroller (102, 

1 20) aufweist, wobei jeder Mikrocontroller (1 02, 1 20) uber einen Buscontroller (56, 58) mit der Busleitung (CAN_A, 
CAN_B) verbunden ist. 

40. Oberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 

dadurch gekennzeichnet, 

dass die Mikrocontroller (102, 120) uber eine Verbindung (80) zum gegenseitigen Datenaustausch miteinander 
verbunden sind. 
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41 . Uberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 

dadurch gekennzeichnet, 

dass die von den Antriebssteuerungen (50) ubertragenen Lage-lstwerte mit einem Identifier deklariert werden und 
dass bei Empfang dieser Identifier in jedem Mikrocontroller (102^ 120) des Uberwachungs- und Steuergerates ein 
Interrupt ausgelbst wird und dass das Uberwachungs- und Steuergerat fur sicherheitsrelevante Daten wie Lage- 
Istwerle, Sensor- und/oder Aklorsignale eine Zeiterwartungshallung aufweisl. 

42 . Uberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 

dadurch gekennzeichnet, 

dass jedem Wert und/oder Wertebereich zumindest ein sicherheitsgerichteter Ausgang und/oder Eingang (92, 
94) des Uberwachungs- und Steuergerates (38) zugeordnet 1st, wobei die Ausgange und/oder Eingange mit pas- 
siven und/oder aktiven Schaltelementen (96, 98) (Sensoren und/oder Aktoren) wie elektromechanischen Sicher- 
heitsschaltern oder Leistungsschutzen und Relais verknupft sind. 

43 . Uberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 

dadurch gekennzeichnet, 

dass die Steuereinheit (36) Lage-Sollwert-Informationen zum Anfahren definierter Positionen wie Safe-Position, 
Sync-Position an die zumindest eine Antriebseinheil (24 - 30) und das Uberwachungs- und Steuergerat (30) uber- 
tragt, wobei den definierten Positionen antriebsspezifische Werte zugeordnet sind, die zu dem Uberwachungs- 
und Steuergerat (38) ubertragen und mit den ermittelten Lage-lstwerten der Antriebseinheiten (24 - 30) verglichen 
und ubenwacht werden. 

44 . Uberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 

dadurch gekennzeichnet, 

dass bezuglich einer Antriebseinheil (24 - 30) bzw, einer Antriebsachse eine Vielzahl von Werteberelchen definiert 
sind, die antriebsspezifisch von dem Uberwachungs- und Steuergerat (38) ubenwacht werden, wobei jedem Wert 
und/oder Wertebereich ein oder mehrere Ausgange des Uberwachungs- und Steuergerates (38) zugeordnet sind. 

45 . Ubenwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 

dadurch gekennzeichnet, 

dass die Werte und/oder Wertebereiche antriebsspezifisch programmierbar sind und 
dass jedem Wert und/oder Wertebereich Ausgange zugeordnet sind. 

46 . Uberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 
dadurch geke nnzeichne t, 

dass die Lage-lstwerte einzelner Antriebseinheiten (24 - 30) in dem Uberwachungsund Steuergerat (38) und/oder 
der Steuereinheit (36) durch eine vorzugsweise kinematikspezifische Transformation auf einen handhabungsge- 
ratespezifischen Punkt (304) wie Roboterflansch bzw. Tool-Center-Point (TCP) verrechnet werden und dass kar- 
tesische Wertebereiche fCir n-dimensionale Bewegung mit insbesondere n=3 in einer Tabelle abgespeichert sind, 
wobei jeder Wertebereich zumindest einem Ausgang des Uberwachungs- und Steuergerates (38) zugeordnet 1st. 

47 . Uberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 

dadurch gekennzeichnet, 

dass die n-dimensionalen mit insbesondere n=2 oder n=3 in den Tabellen abgelegten Wertebereiche bei jedem 
Zykius mit den empfangenen und transformierten Lage-lstwerten verglichen werden. 

48 . Uberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 
dadurch geke nnzeichne t, 

dass die Lage-lstwerte samtilcher Antriebseinheiten (24 - 30) ermittelt und durch eine kinematik-spezIfischeTrans- 
fomnation auf den handhabungsgeratespezifischen Punkt (304) errechnet werden und dass aus zumindest zwei 
transformierten Positionswerten durch Differenzieren die kartesische Geschwindigkelt des Punktes (304) errech- 
net und mit einer vorgegebenen maximalen Geschwindigkelt verglichen wird. 

49. Uberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 

dadurch gekennzeichnet, 

dass eine Uberwachung der Geschwindigkelt zykiisch erfoigt. 
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50. Uberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 

dadurch gekennzeichnet, 

dass nach Ausidsung des weiteren Signals eine kartesische Anfangsgeschwindigkeit V^nfang des Punktes (304) 
ermittelt und gespeichert wird, dass nach einer Zeitspanne AT die aktuelle Geschwindigkeit ermittelt und mit 
der Anfangsgeschwindigkeit V^^rifang verglichen wird, wobei dann, wenn die aktuelle Geschwindigkeit nach 
der Zeitspanne AT gleich oder grofBer der Anfangsgeschwindigeit V^^^ifang ‘St. die Aniage sofort in den sicheren 
Zusland uberfuhrl wird. 
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